Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ShellEffect' = '<SYSTEM32>\iexplore.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\escro.exe
Изменения в файловой системе
Создает следующие файлы
- D:\autorun.inf
- D:\escro.exe
- %WINDIR%\syswow64\akiller.dll
- %WINDIR%\syswow64\hdcu.exe
- %WINDIR%\syswow64\iexplore.exe
Присваивает атрибут 'скрытый' для следующих файлов
- D:\escro.exe
- D:\autorun.inf
- <Имя диска съемного носителя>:\escro.exe
- <Имя диска съемного носителя>:\autorun.inf
- %WINDIR%\syswow64\hdcu.exe
- %WINDIR%\syswow64\iexplore.exe
Сетевая активность
UDP
- DNS ASK bh###7.3322.org
Другое
Ищет следующие окна
- ClassName: 'MS_WINHELP' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s <SYSTEM32>\aKiller.dll (со скрытым окном)
