Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Il31b4Q645n5pEk' = '%APPDATA%\Il31b4Q645n5pEk.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
изменяет следующие системные настройки:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoControlPanel' = '00000000'
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ihdxd.vbs
- %APPDATA%\il31b4q645n5pek.exe
- %TEMP%\java.exe
- %APPDATA%\fw.bat
Сетевая активность
TCP
Запросы HTTP GET
- http://bi#.ly/15eoJAx
UDP
- DNS ASK bi#.ly
- DNS ASK bi##y.com
Другое
Ищет следующие окна
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%TEMP%\iHDXd.vbs"
- '%APPDATA%\il31b4q645n5pek.exe'
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\fw.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v NoControlPanel /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cmd.exe' /c ""%APPDATA%\fw.bat" "
