Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'TGBHQY' = '%TEMP%\Pphh.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\BqkzxxdR.exe' -iii 1444
- '%TEMP%\wvTfo.exe' -iii 844
- '%TEMP%\Pphh.exe' -ccc
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\BqkzxxdR.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\contact[1].htm
- %TEMP%\Pphh.exe
- %TEMP%\wvTfo.exe
Удаляет следующие файлы:
- %TEMP%\BqkzxxdR.exe
- %TEMP%\wvTfo.exe
Сетевая активность:
Подключается к:
- '93.##8.114.200':80
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
