Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\logeqw32.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~tme790.tmp
- %TEMP%\~tme8ba.tmp
- %TEMP%\~tme976.tmp
- %APPDATA%\avdrn.dat
- %TEMP%\~tm15258.tmp
- %TEMP%\~tmf5b3.tmp
- %TEMP%\~tmf641.tmp
- %TEMP%\~tmf72c.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\startup\logeqw32.exe
Удаляет следующие файлы
- %TEMP%\~tme790.tmp
- %TEMP%\~tme8ba.tmp
- %TEMP%\~tme976.tmp
- %TEMP%\~tm15258.tmp
- %TEMP%\~tmf5b3.tmp
- %TEMP%\~tmf641.tmp
- %TEMP%\~tmf72c.tmp
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\~tmf4ec.tmp
Сетевая активность
Подключается к
- '91.##0.35.150':4455
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k netsvcs
