Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VideoTek' = '%TEMP%\hAxiHJ6GLvFZRC33GLvFZRC41 PM0.bat'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\haxihj6glvfzrc33glvfzrc41 pm0.bat'
Внедряет код в
следующие пользовательские процессы:
- haxihj6glvfzrc33glvfzrc41 pm0.bat
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\haxihj6glvfzrc33glvfzrc41 pm0.bat
Сетевая активность
TCP
Запросы HTTP GET
- http://ge#.#osas.pe/wp-content/themes/cosas/picture.jpg
- http://bl#####s-journal.com/gate/test
- http://bl#####s-journal.com/gate/connect?hw######################################################################################################################
UDP
- DNS ASK ge#.#osas.pe
- DNS ASK bl#####s-journal.com
Другое
Создает и запускает на исполнение
- '%TEMP%\haxihj6glvfzrc33glvfzrc41 pm0.bat' ' (со скрытым окном)
