Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{76X1OF70-T77U-W05S-2221-85337QYLE6T8}] 'StubPath' = '%WINDIR%\install\explero.exe Restart'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Policies' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Policies' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\install\explero.exe'
- '%TEMP%\server no ip last.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\mmm.jpg
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\%USERNAME%-wchelper.dll
- %APPDATA%\88E6680F\ak.tmp
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\mmm.jpg
- %TEMP%\server no ip last.exe
- %TEMP%\%USERNAME%2.txt
- %WINDIR%\install\explero.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\%USERNAME%-wchelper.dll
Удаляет следующие файлы:
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%2.txt
- %TEMP%\server no ip last.exe
Сетевая активность:
Подключается к:
- 'eg####.no-ip.org':81
UDP:
- DNS ASK eg####.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
