Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'IntelPowerAgent4' = 'rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~3\jfbdf62b.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\icardagt.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\jfbdf62b.exe
- %TEMP%\3492473cd35c8bdceed8
- %TEMP%\trt48df.tmp.bat
Удаляет следующие файлы
- %TEMP%\3492473cd35c8bdceed8
Сетевая активность
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK microsoft.com
- DNS ASK dr##box.com
- DNS ASK tw##ter.com
- DNS ASK se###pace.com
- DNS ASK et##de.com
- DNS ASK google.com
- DNS ASK fa###ook.com
- DNS ASK in###gram.com
- DNS ASK yandex.ru
- DNS ASK gi##ub.com
- DNS ASK ic##ud.com
- DNS ASK py##on.org
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\icardagt.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\trt48DF.tmp.bat" "<Полный путь к файлу>""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\icardagt.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\trt48DF.tmp.bat" "<Полный путь к файлу>""
- '<SYSTEM32>\vssvc.exe'
- '%WINDIR%\syswow64\attrib.exe' -r -s -h "<Полный путь к файлу>"
