Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "%ALLUSERSPROFILE%\UBlockPlugin\plugin.exe"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\secinit.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\ublockplugin\plugin.exe
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://cr#.#ectigo.com/SectigoRSADomainValidationSecureServerCA.crt
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK xp####mexico.com
- DNS ASK cr#.#ectigo.com
- DNS ASK microsoft.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\ublockplugin\plugin.exe' "<Полный путь к файлу>" ensgJJ
- '%ALLUSERSPROFILE%\ublockplugin\plugin.exe' "<Полный путь к файлу>" ensgJJ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\secinit.exe'
