Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'LanguagePack' = '<SYSTEM32>\regsvr32.exe /s "<Полный путь к файлу>"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'LanguagePack' = '<SYSTEM32>\regsvr32.exe /s "<Полный путь к файлу>"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\wininit.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\default.bmp
- %HOMEPATH%\desktop\000814251_video_01.avi
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\prefhist
- <Текущая директория>\once
Сетевая активность
TCP
Запросы HTTP GET
- http://google.com/
- http://th####t-search.com/search/test.txt
- http://th####t-search.com/search/psearch.php
UDP
- DNS ASK google.com
- DNS ASK th####t-search.com
