Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '0e2297f89b5ac6d73c51b9f913cf6039' = '"%TEMP%\system32.scr" ..'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '0e2297f89b5ac6d73c51b9f913cf6039' = '"%TEMP%\system32.scr" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\0e2297f89b5ac6d73c51b9f913cf6039.exe
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\system32.scr" "system32.scr" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\b55.tmp\server2.vbs
- %TEMP%\tmp.exe
- %TEMP%\system32.scr
Удаляет следующие файлы
- %TEMP%\b55.tmp\server2.vbs
Сетевая активность
UDP
- DNS ASK za######abi.bounceme.net
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' %TEMP%\B55.tmp\server2.vbs
- '%TEMP%\tmp.exe'
- '%TEMP%\system32.scr' /S
- '<SYSTEM32>\wscript.exe' %TEMP%\B55.tmp\server2.vbs' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\system32.scr" "system32.scr" ENABLE' (со скрытым окном)
