Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'avgnte' = '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\avgnte.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'avgnte' = '%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\avgnte.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\avgnte.exe
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\icsesfeet.exe' <PATH_SAMPLE>.doc
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cleanmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\icsesfeet.exe
- %TEMP%\nearenty_56d54e8d98daf.gif
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\startup\avgnte.exe
Подменяет следующие файлы
- <PATH_SAMPLE>.doc
Сетевая активность
TCP
Запросы HTTP POST
- http://re#####acjahektor.pl/javascript/libs/jcrop/demos/alarm.php
- http://le####arowicz.pl/images/galleries/4/534574_530340216995974_1334360344_n_5444dc1bcf90a.jpg
UDP
- DNS ASK re#####acjahektor.pl
- DNS ASK le####arowicz.pl
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\start menu\programs\startup\avgnte.exe'
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\avgnte.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\mstsc.exe' "%TEMP%\icsesfeet.exe" <PATH_SAMPLE>.doc
- '%WINDIR%\syswow64\cmd.exe' /c "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\avgnte.exe"
- '%WINDIR%\syswow64\cleanmgr.exe' "%APPDATA%\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\avgnte.exe"
