Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%WINDIR%\system\svchost.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\mswinsck.ocx
- %WINDIR%\syswow64\comdlg32.ocx
- %TEMP%\x.bat
- %WINDIR%\system\help.html
- %WINDIR%\system\svchost.exe
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012022041120220412\index.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\system\svchost.exe
Удаляет следующие файлы
- %WINDIR%\system\help.html
Сетевая активность
Подключается к
- 'fa###ailer.info':80
TCP
Запросы HTTP GET
- http://ww##.##kemailer.info//
- http://ww##.##kemailer.info/favicon.ico
Запросы HTTP POST
- http://www.fa###ailer.info//
UDP
- DNS ASK fa###ailer.info
- DNS ASK ww##.##kemailer.info
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\x.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\x.bat
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
