Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\vtxfile\Shell\open\command] '' = '%ProgramFiles(x86)%\Internet Explorer\minftnet.exe %1'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://www.co#######n-collective-pro.com/consultation-directe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\internet explorer\minftnet.exe
- %ProgramFiles(x86)%\internet explorer\minftnet.ini
- %TEMP%\d9cb.tmp
Сетевая активность
Подключается к
- 'co#######n-collective-pro.com':80
TCP
Запросы HTTP GET
- http://www.co#######n-collective-pro.com/consultation-directe
UDP
- DNS ASK co#######n-collective-pro.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'EoEngine'
- ClassName: 'TformTeaTimer' WindowName: ''
- ClassName: 'Progman' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\D9CB.tmp,_EntryPoint {468d9dc0-bdad-4d0c-99d7-f633e959fa45}' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' %TEMP%\D9CB.tmp,_EntryPoint {468d9dc0-bdad-4d0c-99d7-f633e959fa45}
- '<SYSTEM32>\rundll32.exe' %TEMP%\D9CB.tmp,_EntryPoint {468d9dc0-bdad-4d0c-99d7-f633e959fa45}
