Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] '93B298AD' = '%APPDATA%\93B298AD\bin.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- firefox.exe
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\93b298ad\bin.exe
- %LOCALAPPDATA%low\log.dat
- %LOCALAPPDATA%low\ntf.dat
Перемещает следующие файлы
- %LOCALAPPDATA%low\log.dat в %LOCALAPPDATA%low\ntf.dat
Самоудаляется.
Сетевая активность
UDP
- DNS ASK wi####madruceez.ru
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\winver.exe'
