Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '<Полный путь к файлу>'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\vjqugr.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\vjqugr.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\wudfhost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\svchost.exe
- %TEMP%\gerarqlb.0.cs
- %TEMP%\gerarqlb.cmdline
- %TEMP%\gerarqlb.out
- %TEMP%\csce3fe.tmp
- %TEMP%\rese40e.tmp
- %TEMP%\gerarqlb.dll
- %WINDIR%\syswow64\install\winsysx
- %TEMP%\user2.txt
- %APPDATA%\userlog.dat
- %TEMP%\user7
- %TEMP%\user8
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\vjqugr.exe
- <Имя диска съемного носителя>:\autorun.inf
- %WINDIR%\syswow64\install\winsysx
- %APPDATA%\userlog.dat
Удаляет следующие файлы
- %TEMP%\rese40e.tmp
- %TEMP%\csce3fe.tmp
- %TEMP%\gerarqlb.out
- %TEMP%\gerarqlb.0.cs
- %TEMP%\gerarqlb.cmdline
- %TEMP%\gerarqlb.dll
- %TEMP%\user2.txt
- %TEMP%\user8
- %TEMP%\user7
Подменяет следующие файлы
- %TEMP%\user8
- %TEMP%\user7
Сетевая активность
Подключается к
- 'localhost':49168
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'View Available Networks'
Создает и запускает на исполнение
- '%APPDATA%\svchost.exe'
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE40E.tmp" "%TEMP%\CSCE3FE.tmp"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gerarqlb.cmdline"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gerarqlb.cmdline"
- '<SYSTEM32>\svchost.exe' -k LocalService
- '<SYSTEM32>\svchost.exe' -k DcomLaunch
- '<SYSTEM32>\svchost.exe' -k RPCSS
- '%WINDIR%\microsoft.net\framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESE40E.tmp" "%TEMP%\CSCE3FE.tmp"
- '<SYSTEM32>\svchost.exe' -k LocalServiceNetworkRestricted
- '%WINDIR%\syswow64\explorer.exe'
