Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'safe' = '%systemroot%\system\cfmon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\system\cfmon.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "c:\338.vbe"
- '<SYSTEM32>\taskkill.exe' /im cfmon.exe /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\338.vbe
- %WINDIR%\system\cfmon.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1035
UDP:
- DNS ASK b.###6800.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
