Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\winup.lnk
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- 'C:\rgn\rgn.exe'
Запускает на исполнение (эксплоит)
- '%WINDIR%\explorer.exe' C:\rgn\rgn.exe
Изменения в файловой системе
Создает следующие файлы
- C:\rgn\rgn
- %APPDATA%\microsoft\windows\sendto\winupdt.exe
Перемещает следующие файлы
- C:\rgn\rgn в C:\rgn\rgn.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://li##ways.pk/images/rgn
- http://mi#.###haleejpk.info/PsehestyvuPw/F1l3estPhPInf1.php?in#################################################################
- http://mi#.###haleejpk.info/PsehestyvuPw/F1l3estPhPInfF2.php?in########################
UDP
- DNS ASK li##ways.pk
- DNS ASK mi#.###haleejpk.info
Другое
Создает и запускает на исполнение
- '%WINDIR%\explorer.exe' C:\rgn\rgn.exe' (со скрытым окном)
- 'C:\rgn\rgn.exe' ' (со скрытым окном)
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
