Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\software\Wow6432Node\microsoft\windows\currentversion\Policies\Explorer\Run] '56743' = '%ProgramFiles%\locals~1\Temp\mswvtfi.com'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\locals~1\temp\mswvtfi.com
Самоперемещается
- из <Полный путь к файлу> в %APPDATA%\microsoft\windows\templates\explorer.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK xe###kaz.com
- DNS ASK an###2x06.com
- DNS ASK xe##kza.com
- DNS ASK za###yex.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\applaunch.exe'
- '%WINDIR%\syswow64\svchost.exe'
