Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Control\SecurityProviders] 'SecurityProviders' = 'credssp.dll, msimg64.dll'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~er7bf8.tmp
- <SYSTEM32>\msimg64.dll
Удаляет следующие файлы
- %TEMP%\~er7bf8.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://www.google.com/
UDP
- DNS ASK google.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c takeown /f "<SYSTEM32>\msimg64.dll" && icacls "<SYSTEM32>\msimg64.dll" /grant administrators:F' (со скрытым окном)
- '%ProgramFiles%\internet explorer\iexplore.exe' www.google.com' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c takeown /f "<SYSTEM32>\msimg64.dll" && icacls "<SYSTEM32>\msimg64.dll" /grant administrators:F
- '%ProgramFiles%\internet explorer\iexplore.exe' www.google.com
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\msimg64.dll"
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\msimg64.dll" /grant administrators:F
