Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'crome' = '<SYSTEM32>\pcalua.exe -a %APPDATA%\Microsoft\Windows\Templates\microsoft'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- %TEMP%\5fe04141-d3b5-4927-8ee5-5a463e534407\njn.dll
- %TEMP%\addinprocess32.exe
- %APPDATA%\microsoft\windows\templates\microsoft
Сетевая активность
TCP
Запросы HTTP GET
- http://gg.gg/ms4j0
- http://19#.#42.59.108/hkcmd/document.doc
- http://19#.#42.59.108/hkcmd/svch.exe
UDP
- DNS ASK gg.gg
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v crome /t REG_SZ /d <SYSTEM32>\pcalua.exe" -a %APPDATA%\Microsoft\Windows\Templates\microsoft"
- '%WINDIR%\syswow64\reg.exe' ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v crome /t REG_SZ /d <SYSTEM32>\pcalua.exe" -a %APPDATA%\Microsoft\Windows\Templates\microsoft"
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\shell32.dll,OpenAs_RunDLL %APPDATA%\Microsoft\Windows\Templates\microsoft
