Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\AFW] 'ImagePath' = '%TEMP%\001191b4.sys'
Создает следующие сервисы
- 'AFW' %TEMP%\001191b4.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\tmp118e69.exe
- %TEMP%\nsr9176.tmp
- %TEMP%\mydnsapi.dll
- %TEMP%\001191b4
- %TEMP%\whenu.ini
- %TEMP%\banner.bmp
- %TEMP%\nsw9232.tmp\iospecial.ini
- %TEMP%\nsw9232.tmp\modern-wizard.bmp
- %TEMP%\nsw9232.tmp\modern-header.bmp
- %TEMP%\nsw9232.tmp\installoptions.dll
- %WINDIR%\temp\udd95c9.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd95c9.tmp
Перемещает следующие файлы
- %TEMP%\001191b4 в %TEMP%\001191b4.sys
Сетевая активность
UDP
- DNS ASK windowsupdate.com
- DNS ASK google.com
Другое
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -nohome
- '%WINDIR%\syswow64\svchost.exe'
