Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'IE Crash Handler' = '%APPDATA%\IE Crash Handler\CrashHandler.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dwass.txt
- %TEMP%\xuowokkybzlzf.exe
- %APPDATA%\ie crash handler\crashhandler.exe
Сетевая активность
TCP
- 'si########k1234-46140.portmap.host':46140
UDP
- DNS ASK si########k1234-46140.portmap.host
Другое
Создает и запускает на исполнение
- '%TEMP%\xuowokkybzlzf.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe' %TEMP%\Dwass.txt
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Remove-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'IE Crash Handler';New-ItemProperty -Path 'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' -Name 'IE C...
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
