Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode disable
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\mgrcegalop.vbs
- <Текущая директория>\mgrcegalop.cmd
- %APPDATA%\microsoft\speech\files\userlexicons\sp_6fc880ea77864b529d87b2141a58f44c.dat
Сетевая активность
TCP
- 'yo##ube.com':443
UDP
- DNS ASK yo##ube.com
Другое
Ищет следующие окна
- ClassName: 'AutoHotkey' WindowName: '<Полный путь к файлу>'
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<Текущая директория>\mgrcegalop.vbs"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c mgrcegalop.cmd
- '%WINDIR%\syswow64\attrib.exe' -s -r -h C:\ntldr
