Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Rvchn' = '%HOMEPATH%\nhcvR.url'
Вредоносные функции
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- 'C:\users\public\vbc.exe'
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\vbc.exe
- C:\users\public\libraries\temp
- %HOMEPATH%\links\rvchnkop.exe
- %HOMEPATH%\links\rvchn
- %HOMEPATH%\nhcvr.url
- %APPDATA%\sata\logs.iso
Удаляет следующие файлы
- C:\users\public\libraries\temp
Сетевая активность
TCP
Запросы HTTP GET
- http://ti###rl.mobi/beAa
- http://ti###rl.mobi/?re###########
- http://19#.3.22.59/Acrbd64/document.doc
- http://19#.3.22.59/Acrbd64/Rsigned.exe
UDP
- DNS ASK ti###rl.mobi
- DNS ASK 1d#v.ws
- DNS ASK 4u####.#m.files.1drv.com
- DNS ASK 4s####e.ddns.net
Другое
Запускает на исполнение
- '%ProgramFiles%\microsoft office\office14\winword.exe' -Embedding
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%ProgramFiles(x86)%\internet explorer\ieinstal.exe'
