Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServices] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunServicesOnce] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] 'Recycler' = '%TEMP%\iexplorer.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Recycler' = '%TEMP%\iexplorer.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- <Имя файла>.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\getprocaddress.dll
- %APPDATA%\<Имя файла>.exe
- %TEMP%\iexplorer.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\getprocaddress.dll
- %TEMP%\iexplorer.exe
Сетевая активность
UDP
- DNS ASK ns#####ing.no-ip.biz
Другое
Создает и запускает на исполнение
- '%APPDATA%\<Имя файла>.exe'
- '%TEMP%\iexplorer.exe'
- '%TEMP%\iexplorer.exe' ' (со скрытым окном)
