Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%APPDATA%\<Имя файла>.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%APPDATA%\<Имя файла>.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\<Имя файла>.exe
- %TEMP%\tmp6334.tmp.jpg
- %TEMP%\tmp65e1.tmp.jpg
- %TEMP%\tmp6ab0.tmp.jpg
- %TEMP%\tmp6ed4.tmp.gif
- %TEMP%\tmp718e.tmp.jpg
- %TEMP%\tmpdd1b.tmp.gif
- %TEMP%\tmpfdae.tmp.gif
- %TEMP%\tmp2c8.tmp.gif
- %TEMP%\tmp644.tmp.gif
Самоудаляется.
Сетевая активность
Подключается к
- 'ip###dress.org':80
- '21#.#29.106.217':80
TCP
Запросы HTTP GET
- http://www.ip###dress.org/ip-checker.php
UDP
- DNS ASK ip###dress.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Program Manager'
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\cmd.exe' /q /c for /l %i in (1, 1, 4000000000) do if not exist "<Полный путь к файлу>" (exit) else (del /f "<Полный путь к файлу>") (со скрытым окном)
- '%WINDIR%\syswow64\ctfmon.exe'
