Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'iCEyocHtffAu' = '%ALLUSERSPROFILE%\iCEyocHtffAu.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Internet Explorer\Download] 'CheckExeSignatures' = 'no'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments] 'SaveZoneInformation' = '00000001'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] 'LowRiskFileTypes' = '/{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/...
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\iceyochtffau.exe
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\tmpe6c5.tmp
Сетевая активность
UDP
- DNS ASK fi###heeks.org
- DNS ASK se####battery.org
- DNS ASK se####arrange.org
- DNS ASK fi####vertisem.org
- DNS ASK se####modern.org
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\iceyochtffau.exe'
