Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\policies\Explorer\run] 'bstart' = '<Полный путь к файлу>'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Сетевая активность
UDP
- 'localhost':8451
- 'localhost':5846
- 'localhost':5848
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Button' WindowName: ''
- ClassName: '' WindowName: 'Explorer jfThread'
- ClassName: '' WindowName: 'Windows ÈÎÎñ¹ÜÀГÆ÷'
- ClassName: '' WindowName: 'Г—ВўВІГЎВ±ГВ±Г ВјВÆ÷'
- ClassName: '' WindowName: '»ú ·¿ ¹Ü Àà ϵ ͳ ¿Í »§ ÖÕ ¶Ë'
- ClassName: '' WindowName: 'ϵͳÅäÖÃʵÓóÌÐò'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "<Полный путь к файлу>"
