Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Virus Scan' = '%ALLUSERSPROFILE%\AntivirusScan.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\AntivirusScan.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\AntivirusScan.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v "Virus Scan" /t REG_SZ /d "%ALLUSERSPROFILE%\AntivirusScan.exe" /f
- <SYSTEM32>\cmd.exe /c "%ALLUSERSPROFILE%\temp.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\swwEA3.tmp
- %TEMP%\416782.TMP
- %TEMP%\745626.TMP
- %ALLUSERSPROFILE%\RCX1.tmp
- %ALLUSERSPROFILE%\AntivirusScan.exe
- %ALLUSERSPROFILE%\temp.bat
- %TEMP%\614472.TMP
- %TEMP%\394316.TMP
- %TEMP%\767250.TMP
- %TEMP%\124660.TMP
- %TEMP%\994504.TMP
- %TEMP%\285428.TMP
Удаляет следующие файлы:
- %TEMP%\416782.TMP
- %TEMP%\745626.TMP
- %ALLUSERSPROFILE%\swwEA3.tmp
- %ALLUSERSPROFILE%\temp.bat
- %ALLUSERSPROFILE%\AntivirusScan.exe
- %TEMP%\124660.TMP
- %TEMP%\394316.TMP
- %TEMP%\767250.TMP
- %TEMP%\614472.TMP
- %TEMP%\994504.TMP
- %TEMP%\285428.TMP
Перемещает следующие файлы:
- %ALLUSERSPROFILE%\RCX1.tmp в %ALLUSERSPROFILE%\AntivirusScan.exe
Сетевая активность:
Подключается к:
- 'dr##.dumb1.com':443
UDP:
- DNS ASK dr##.dumb1.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
