Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'mstwain32' = '%WINDIR%\mstwain32.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\ntdtcstp.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\minecraft.exe
- %TEMP%\ares.exe
- %TEMP%\e4je853.tmp_dir\exe4jlib.jar
- %TEMP%\e4je853.tmp_dir\i4jdel.exe
- %TEMP%\e4je853.tmp_dir\minecraftsp.jar
- %WINDIR%\mstwain32.exe
- %WINDIR%\ntdtcstp.dll
Сетевая активность
UDP
- DNS ASK ex####ttr.no-ip.org
Другое
Создает и запускает на исполнение
- '%TEMP%\minecraft.exe'
- '%TEMP%\ares.exe'
- '%WINDIR%\mstwain32.exe'
- '%WINDIR%\mstwain32.exe' ' (со скрытым окном)
