Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Module' = '%ALLUSERSPROFILE%\Media\plugin.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\media\rdb.bat
- %ALLUSERSPROFILE%\media\plugin.exe
- %ALLUSERSPROFILE%\media\watcher.exe
Сетевая активность
UDP
- DNS ASK po##hub.com
Другое
Ищет следующие окна
- ClassName: 'DDEMLMom' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\media\plugin.exe'
- '%ALLUSERSPROFILE%\media\watcher.exe'
- '%WINDIR%\syswow64\cmd.exe' start http://www.po##hub.com/' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' start http://www.po##hub.com/
- '%WINDIR%\syswow64\cmd.exe' /c %ALLUSERSPROFILE%\Media\rdb.bat
Использует альтернативные потоки данных NTFS
