Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'e37d6e13bb402a868052c6824707ff45' = '"%TEMP%\sffhfcg.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'e37d6e13bb402a868052c6824707ff45' = '"%TEMP%\sffhfcg.exe" ..'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\e37d6e13bb402a868052c6824707ff45.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\sffhfcg.exe'
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\sffhfcg.exe" "sffhfcg.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- \Device\HarddiskVolume1\Boot\BCD
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\e37d6e13bb402a868052c6824707ff45.exe
- \Device\HarddiskVolume1\Boot\BCD.LOG
- %TEMP%\sffhfcg.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\e37d6e13bb402a868052c6824707ff45.exe
Сетевая активность:
Подключается к:
- 'as#####512.no-ip.biz':1177
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK as#####512.no-ip.biz
