Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '%APPDATA%\VvVgaspNiHz\vHYmIv\1.3.7.1291\<Имя файла>.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\user32.dll
- %APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\<Имя файла>.exe
- %APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\user32.dll
- %TEMP%\yu-gi-oh 5d card unlocker.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\user32.dll
- %APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\<Имя файла>.exe
- %APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\user32.dll
Сетевая активность
Подключается к
- '255.255.255.255':1604
UDP
- DNS ASK ma####20.no-ip.biz
Другое
Ищет следующие окна
- ClassName: 'shell_traywnd' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\<Имя файла>.exe'
- '%TEMP%\yu-gi-oh 5d card unlocker.exe'
- '%APPDATA%\vvvgaspnihz\vhymiv\1.3.7.1291\<Имя файла>.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v2.0.50727\vbc.exe'
