Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MesfAhpus' = 'regsvr32.exe "%PROGRAMDATA%\MesfAhpus\VamuTuxz.bok"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wudfhost.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс iexplore.exe, модуль crypt32.dll
- Процесс firefox.exe, модуль crypt32.dll
- Процесс firefox.exe, модуль nss3.dll
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~000fcd59.tmp
- %PROGRAMDATA%\mesfahpus\vamutuxz.bok
Самоудаляется.
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' "%TEMP%\\~000FCD59.tmp"
