Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'AWCD Agent' = '%WINDIR%\SysWOW64\Sys32\AWCD.exe'
Вредоносные функции
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\Sys32\AWCD.006
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\Sys32\AWCD.006
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\Sys32\AWCD.007
Изменения в файловой системе
Создает следующие файлы
- C:\0jpz.exe
- %TEMP%\@a247.tmp
- %TEMP%\@a257.tmp
- %WINDIR%\syswow64\sys32\awcd.001
- %WINDIR%\syswow64\sys32\awcd.006
- %WINDIR%\syswow64\sys32\awcd.007
- %WINDIR%\syswow64\sys32\awcd.exe
Удаляет следующие файлы
- %TEMP%\@a247.tmp
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'abc'
- ClassName: '' WindowName: 'AKLMW'
Создает и запускает на исполнение
- 'C:\0jpz.exe'
- '%WINDIR%\syswow64\sys32\awcd.exe'
Запускает на исполнение
- 'C:\0jpz.exe' (со скрытым окном)
- '%WINDIR%\syswow64\sys32\awcd.exe' (со скрытым окном)
