Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Alcmeter' = '%TEMP%\ddHhd883s1S7n6Z.exe'
- [<HKLM>\Software\Classes\DMJRZXGEYADOFRV\shell\open\command] '' = '%TEMP%\ddHhd883s1S7n6Z.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\how to decrypt files.txt
- <Имя диска съемного носителя>:\weeklysheet1215.doc
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\sdksampleunprivdeveloper.cer
- <Имя диска съемного носителя>:\testcertificate.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\contosoroot_1.cer
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\000814251_video_01.avi
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\applicantform_en.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%ldbriybkcm.exe
- %TEMP%\ddhhd883s1s7n6z.exe
- %LOCALAPPDATA%akomdmutxm..jpg
Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%ldbriybkcm.exe'
