Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\bit5ce9.tmp
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\mstsc.exe
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1d8c5a37.png
- %APPDATA%\icq-profile\update\bit5362.tmp
- %TEMP%\322cd1c2.lnk
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\icq-profile\update\bit5362.tmp
- %APPDATA%\microsoft\windows\start menu\programs\startup\bit5ce9.tmp
Перемещает следующие файлы
- %APPDATA%\icq-profile\update\bit5362.tmp в %APPDATA%\icq-profile\update\rgsvr30.exe
Сетевая активность
TCP
- 'i.##gur.com':443
UDP
- DNS ASK i.##gur.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v "%APPDATA%\ICQ-Profile\Update" /t REG_DWORD /d 0"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mstsc.exe'
- '%WINDIR%\syswow64\cmd.exe'
- '<SYSTEM32>\cmd.exe' /c "reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v "%APPDATA%\ICQ-Profile\Update" /t REG_DWORD /d 0"
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Exclusions\Paths" /v "%APPDATA%\ICQ-Profile\Update" /t REG_DWORD /d 0
