Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'setuptemp.exe' = '"%HOMEPATH%\My Documentstempletsetup.exe" ..'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\My Documentstempletsetup.exe' = '%HOMEPATH%\My Document...
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\My Documentstempletsetup.exe" "My Documentstempletsetup.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\my documentseveryonepiano_setup.exe
- %HOMEPATH%\my documentstempletsetup.exe
- %TEMP%\is-keu12.tmp\my documentseveryonepiano_setup.tmp
- %TEMP%\setuptemp.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://pa###bin.com/raw.php?i=########
- http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt
UDP
- DNS ASK pa###bin.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\my documentseveryonepiano_setup.exe'
- '%HOMEPATH%\my documentstempletsetup.exe'
- '%TEMP%\is-keu12.tmp\my documentseveryonepiano_setup.tmp' /SL5="$10214,4420426,66048,%HOMEPATH%\My DocumentsEveryonePiano_Setup.exe"
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\My Documentstempletsetup.exe" "My Documentstempletsetup.exe" ENABLE' (со скрытым окном)
