Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Karma' = '"%APPDATA%\Karma"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Karma' = '"%APPDATA%\Karma"'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\{%USERNAME%-karma}\Karma
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\explorer.exe
- %TEMP%\cOsSz.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\explorer.exe
- %TEMP%\cOsSz.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\{%USERNAME%-karma}\Karma
- %APPDATA%\Karma
Перемещает следующие файлы:
- %TEMP%\explorer.exe в %APPDATA%\Karma
Сетевая активность:
Подключается к:
- 'xb######tsircd.no-ip.biz':6667
UDP:
- DNS ASK xb######tsircd.no-ip.biz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
