Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Pvjkmela' = 'C:\Users\Public\Pvjkmela.url'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\colorcpl.exe
- %WINDIR%\explorer.exe
- %WINDIR%\syswow64\help.exe
Изменения в файловой системе
Создает следующие файлы
- C:\users\public\libraries\pno
- %WINDIR% \system32\cmd.pif
- %WINDIR% \system32\netutils.dll
- C:\users\public\libraries\pvjkmela.pif
- C:\users\public\libraries\pvjkmela
- C:\users\public\pvjkmela.url
Сетевая активность
Подключается к
- 'ed###t-sa.com':80
TCP
Запросы HTTP GET
- http://ed###t-sa.com/userdownloadedbulkfilesrecycle/233_Pvjkmelaxol
UDP
- DNS ASK ed###t-sa.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Color Management'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% " (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "\\?\%WINDIR% \System32" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "C:\\Windows \\System32\\cmd.pif" (со скрытым окном)
- '%WINDIR%\syswow64\extrac32.exe' /C /Y <Полный путь к файлу> C:\\Users\\Public\\Libraries\\Pvjkmela.PIF (со скрытым окном)
- '%WINDIR%\syswow64\colorcpl.exe' (со скрытым окном)
- '%WINDIR%\syswow64\help.exe'
- '%WINDIR%\syswow64\cmd.exe' del "%WINDIR%\SysWOW64\colorcpl.exe"
