Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msnmsg' = '"%PROGRAMDATA%\msnmsg4.exe"'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- applaunch.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\msnmsg4.exe
- %TEMP%\applaunch\app.ine
- %TEMP%\201.ine
- %TEMP%\project.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %PROGRAMDATA%\msnmsg4.exe
Удаляет следующие файлы
- %TEMP%\project.exe
Перемещает следующие файлы
- %TEMP%\applaunch\app.ine в %TEMP%\applaunch\applaunch.exe
- %TEMP%\201.ine в %TEMP%\project.exe
Самоудаляется.
Сетевая активность
Подключается к
- '255.255.255.255':3030
UDP
- DNS ASK ic####.no-ip.org
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\msnmsg4.exe'
- '%TEMP%\applaunch\applaunch.exe'
- '%TEMP%\project.exe'
- '%WINDIR%\syswow64\cmd.exe' /k ping 0 & del "<Полный путь к файлу>" & exit' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /k ping 0 & del "<Полный путь к файлу>" & exit
- '%WINDIR%\syswow64\ping.exe' 0
