Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Classes\fonfile\shell\open\command] '' = '<SYSTEM32>\fontview.exe %1'
- [<HKLM>\SOFTWARE\Classes\iiifile\shell\open\command] '' = '"rundll32.exe" msconf.dll,NewMediaPhone %l'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' http://www.30##6.com
Изменения в файловой системе
Создает следующие файлы
- C:\reg.reg
Самоудаляется.
Сетевая активность
Подключается к
- '30##6.com':80
TCP
Запросы HTTP GET
- http://www.30##6.com/
UDP
- DNS ASK 30##6.com
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%ProgramFiles%\internet explorer\iexplore.exe' http://www.30##6.com' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 3 127.1 & del /q "<Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\regedit.exe' /s C:\reg.reg
- '%WINDIR%\syswow64\cmd.exe' /c ping -n 3 127.1 & del /q "<Полный путь к файлу>"
- '%WINDIR%\syswow64\ping.exe' -n 3 127.1
