Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\javaupdate.lnk
Вредоносные функции
Создает и загружает библиотеки (эксплоит)
- %LOCALAPPDATA%\microsoft\internet explorer\iecompatdata\iecompat.nls
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\rundll32.exe' "%LOCALAPPDATA%\Microsoft\Internet Explorer\IECompatData\iecompat.nls", RaitingSetupUI "<PATH_SAMPLE>.doc" "0" 0 0
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1420
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\internet explorer\iecompatdata\iecompat.nls
- <PATH_SAMPLE> .doc
- %TEMP%\1092724.cvr
Самоудаляется.
Сетевая активность
TCP
- 'cu####irenze.com':443
UDP
- DNS ASK cu####irenze.com
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' "%LOCALAPPDATA%\Microsoft\Internet Explorer\IECompatData\iecompat.nls", RaitingSetupUI "<PATH_SAMPLE>.doc" "0" 0 0' (со скрытым окном)
