Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'f3fef00b2f633e0ad74deee2c8d77475' = '"%WINDIR%\SysWOW64\system.exe" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'f3fef00b2f633e0ad74deee2c8d77475' = '"%WINDIR%\SysWOW64\system.exe" ..'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%WINDIR%\SysWOW64\system.exe" "system.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\syswow64\system.exe
- %ProgramFiles(x86)%\startorbz studio\diablestarttips.reg
- %ProgramFiles(x86)%\startorbz studio\enablestarttips.reg
- %ProgramFiles(x86)%\startorbz studio\readme.txt
- %ProgramFiles(x86)%\startorbz studio\startorbz studio 2.1.exe
- %ProgramFiles(x86)%\startorbz studio\startorbz studio 3.1a.exe
- %ProgramFiles(x86)%\startorbz studio\vicioushelp.dll
- %ProgramFiles(x86)%\%startorbz studio%\startorbz studio\uninstall.exe
- %HOMEPATH%\desktop\startorbz studio.lnk
- %ProgramFiles(x86)%\%startorbz studio%\startorbz studio\uninstall.ini
Удаляет следующие файлы
- %TEMP%\$inst\temp_0.tmp
Сетевая активность
Подключается к
- 'zz####eryy.ddns.net':5552
UDP
- DNS ASK zz####eryy.ddns.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\system.exe'
- '%WINDIR%\syswow64\system.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%WINDIR%\SysWOW64\system.exe" "system.exe" ENABLE' (со скрытым окном)
