Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\vtxfile\Shell\open\command] '' = '%ProgramFiles(x86)%\Internet Explorer\minftnet.exe %1'
Вредоносные функции
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' http://in###auto.fr/consultation-directe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\rarsfx0\synertel_ie.exe
- %TEMP%\installation.exe
- %TEMP%\rarsfx1\instal.exe
- %TEMP%\rarsfx1\minftnet.exe
- %TEMP%\rarsfx1\minftnet.ini
- %ProgramFiles(x86)%\internet explorer\minftnet.exe
- %ProgramFiles(x86)%\internet explorer\minftnet.ini
- %LOCALAPPDATA%\microsoft\windows\history\history.ie5\mshist012022100120221002\index.dat
Удаляет следующие файлы
- %TEMP%\rarsfx1\instal.exe
- %TEMP%\rarsfx1\minftnet.exe
- %TEMP%\rarsfx1\minftnet.ini
Сетевая активность
Подключается к
- 'in###auto.fr':80
TCP
Запросы HTTP GET
- http://in###auto.fr/consultation-directe
- http://in###auto.fr/favicon.ico
UDP
- DNS ASK in###auto.fr
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'CFenetre' WindowName: 'FenГЄtre provisoire qu\on ne devrait pas voir !'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
- ClassName: 'Static' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\rarsfx0\synertel_ie.exe'
- '%TEMP%\installation.exe'
- '%TEMP%\rarsfx1\instal.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\installation.exe
- '%WINDIR%\syswow64\cmd.exe' /c start /MAX iexplore http://in###auto.fr/consultation-directe
