Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run] 'CTS' = '%WINDIR%\CTS.exe'
Заражает следующие исполняемые файлы
- <Имя диска съемного носителя>:\dotnetfx45_full_setup.exe
- %LOCALAPPDATA%\google\chrome\application\47.0.2526.106\delegate_execute.exe
- <Имя диска съемного носителя>:\utorrent.exe
- %LOCALAPPDATA%\google\chrome\application\47.0.2526.106\installer\setup.exe
- <Имя диска съемного носителя>:\chromesetup.exe
- %LOCALAPPDATA%\google\chrome\application\47.0.2526.106\nacl64.exe
- <Имя диска съемного носителя>:\wrar520.exe
- <Имя диска съемного носителя>:\notepad.exe
- %LOCALAPPDATA%\google\chrome\application\chrome.exe
- %LOCALAPPDATA%\microsoft\onedrive\19.002.0107.0005_1\filecoauth.exe
- %LOCALAPPDATA%\microsoft\onedrive\19.002.0107.0005_1\filesyncconfig.exe
- %LOCALAPPDATA%\microsoft\onedrive\19.002.0107.0005_1\onedrivesetup.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fgfgsdldzfddopg.exe
- %WINDIR%\cts.exe
- %TEMP%\chrome_installer.log
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0\usagelogs\powershell.exe.log
Другое
Ищет следующие окна
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\fgfgsdldzfddopg.exe'
- '%WINDIR%\cts.exe'
