Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\PROTOCOLS\Filter\text/html] 'CLSID' = '{E92D7312-DE97-4B0B-A7DF-F5ED54B09DC7}'
- [<HKLM>\Software\Classes\PROTOCOLS\Filter\text/plain] 'CLSID' = '{E92D7312-DE97-4B0B-A7DF-F5ED54B09DC7}'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'sp' = 'rundll32 %TEMP%\se.dll,DllInstall'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\ifag.dll
- %TEMP%\se.dll
Удаляет следующие файлы
- %WINDIR%\syswow64\ifag.dll
Перемещает следующие файлы
- %WINDIR%\syswow64\ifag.dll в %WINDIR%\syswow64\fomgcbaa.tmp
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность
Подключается к
- '82.##9.166.69':80
- '82.##9.166.67':80
UDP
- DNS ASK di###tx.ak47.be
- DNS ASK on###e.refer.cn
- DNS ASK gl####.look-up.tv
- DNS ASK xm#.###dows-data.info
Другое
Ищет следующие окна
- ClassName: 'HH Parent' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\se.dll,DllInstall' (со скрытым окном)
- '%WINDIR%\syswow64\explorer.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\se.dll,DllInstall
- '%WINDIR%\syswow64\explorer.exe'
