Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%WINDIR%\SysWow64\vnzyimac.exe" /shell'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\indexfpqwrxsp.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\indexfpqwrxsp.exe
- %WINDIR%\syswow64\vnzyimac.exe
Удаляет следующие файлы
- %TEMP%\indexfpqwrxsp.exe
Сетевая активность
Подключается к
- 'in####tionhub.de':80
- 'in####tionhub.de':443
- '78.##.248.147':80
TCP
Запросы HTTP GET
- http://in####tionhub.de/wp-content/image.php?id############
Другие
- 'in####tionhub.de':443
UDP
- DNS ASK in####tionhub.de
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe' "/executable"
