Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Prueba de concepto' = '<Полный путь к файлу>'
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Удаляет следующие файлы
- <DRIVERS>\etc\hosts
Изменяет следующие файлы
Подменяет файл HOSTS.
Сетевая активность
Подключается к
- 'google.com':80
- 'ar####legion.com':80
TCP
Запросы HTTP GET
- http://ar####legion.com/modules/readme_NT.txt
UDP
- DNS ASK google.com
- DNS ASK to####cameroun.com
- DNS ASK ar####legion.com
- DNS ASK cl#####dentalsfa.com
- DNS ASK pr####oramotupe.com
- DNS ASK pa#####ftheworld.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
