Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\software\microsoft\windows\currentversion\run] 'IntelPowerAgent5' = 'rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~3\6aedb8fb.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль urlmon.dll
- Процесс iexplore.exe, модуль crypt32.dll
- Процесс iexplore.exe, модуль urlmon.dll
- Процесс firefox.exe, модуль crypt32.dll
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\6aedb8fb.exe
- %ALLUSERSPROFILE%\whg509.tmp.bat
Сетевая активность
UDP
- DNS ASK ad###oyo1377.tk
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\whg509.tmp.bat" "<Полный путь к файлу>""' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%ALLUSERSPROFILE%\whg509.tmp.bat" "<Полный путь к файлу>""
