Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'allkeeper' = 'C:\users\Public\conlhost.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\coffee.bmp
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\del.bat
- C:\users\public\conlhost.exe
- C:\users\public\files
- C:\users\public\testdecrypt
Присваивает атрибут 'скрытый' для следующих файлов
- C:\users\public\conlhost.exe
Изменяет следующие файлы
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\coffee.bmp
Самоудаляется.
Сетевая активность
Подключается к
- '46.##.169.106':80
Другое
Создает и запускает на исполнение
- 'C:\users\public\conlhost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c C:\users\Public\del.bat' (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "allkeeper" /t REG_SZ /d "C:\users\Public\conlhost.exe" /f /reg:64' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c C:\users\Public\del.bat
- '%WINDIR%\syswow64\reg.exe' ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "allkeeper" /t REG_SZ /d "C:\users\Public\conlhost.exe" /f /reg:64
