Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'GoogleDisk' = 'wscript.exe //b %LOCALAPPDATA%\Microsoft\Windows\GoogleDisk.vbs'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%LOCALAPPDATA%\microsoft\windows\googledisk.exe' //b %LOCALAPPDATA%\Microsoft\Windows\GoogleDisk.vbs
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\googledisk.exe
- %LOCALAPPDATA%\microsoft\windows\googledisk.vbs
Сетевая активность
Подключается к
- 'an####tera.online':80
TCP
Запросы HTTP GET
- http://18#.#25.58.175/ingenious_/28.01/ivan.php
UDP
- DNS ASK an####tera.online
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\microsoft\windows\googledisk.exe' //b %LOCALAPPDATA%\Microsoft\Windows\GoogleDisk.vbs' (со скрытым окном)
