Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Alcmeter' = '%TEMP%\G7766tl654JXnEG.exe'
- [<HKLM>\Software\Classes\AEFFSJOLYPZUNUP\shell\open\command] '' = '%TEMP%\G7766tl654JXnEG.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\how to decrypt files.txt
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\testee.cer
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\applicantform_en.doc
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\temp\svhost.exe
- %TEMP%\g7766tl654jxneg.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\temp\svhost.exe
Изменяет файл HOSTS.
Создает файлы с требованием оплатить расшифровку файлов (Trojan.Encoder).
Другое
Создает и запускает на исполнение
- '%WINDIR%\temp\svhost.exe'
