Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Audio HD Driver' = '%TEMP%\spolsvrr.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Audio HD Driver' = '%TEMP%\spolsvrr.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Внедряет код в
следующие системные процессы:
- %WINDIR%\twunk_32.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\spolsvrr.exe
- %APPDATA%\spolsvrr.exe
- %TEMP%\delete.bat
- %TEMP%\user2.txt
- %APPDATA%\userlog.dat
- %TEMP%\user7
- %TEMP%\user8
- %TEMP%\twain.log
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\spolsvrr.exe
- %APPDATA%\spolsvrr.exe
- %APPDATA%\userlog.dat
Удаляет следующие файлы
- %TEMP%\user2.txt
- %TEMP%\user8
- %TEMP%\user7
Подменяет следующие файлы
- %TEMP%\user8
- %TEMP%\user7
Самоудаляется.
Сетевая активность
Подключается к
- '10#.#0.222.209':6881
TCP
Запросы HTTP GET
- http://www.ga###123.biz.nf/sqlite3.dll
UDP
- DNS ASK ga###123.biz.nf
- DNS ASK bu####xxx.no-ip.org
- DNS ASK bu####xxx.no-ip.biz
Другое
Запускает на исполнение
- '%WINDIR%\twunk_32.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\delete.bat""
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe'
