Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Privacy' = '%PROGRAMDATA%\Internet Explorer\Microsoft\iexplorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Privacy' = '%PROGRAMDATA%\Internet Explorer\Microsoft\iexplorer.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Byte' = '%PROGRAMDATA%\Internet Explorer\Microsoft\iexplorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Hex' = '%PROGRAMDATA%\Internet Explorer\Microsoft\iexplorer.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{W264105Q-OK7P-5EL2-1LE4-F5U81WO5056Q}] 'StubPath' = '%PROGRAMDATA%\Internet Explorer\Microsoft\iexplorer.exe Restart'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
следующие пользовательские процессы:
- iexplorer.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\internet explorer\microsoft\iexplorer.exe
- %TEMP%\xx--xx--xx.txt
- %APPDATA%\logs.dat
- %TEMP%\xxx.xxx
- %TEMP%\uuu.uuu
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\logs.dat
Удаляет следующие файлы
- %TEMP%\xx--xx--xx.txt
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Подменяет следующие файлы
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Сетевая активность
UDP
- DNS ASK mi######t-dynamic.ddns.net
Другое
Ищет следующие окна
- ClassName: 'shell_traywnd' WindowName: ''
Создает и запускает на исполнение
- '%PROGRAMDATA%\internet explorer\microsoft\iexplorer.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
