Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'Textando' = '%WINDIR%\Testando.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Устанавливает процедуры перехвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\ntdtcstp.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\criado.exe
- %WINDIR%\4577921847_5c5309e97e_b-640x438.jpg
- %WINDIR%\7184.13526-virus-mortal-teclado.jpg
- %WINDIR%\bradesco_07_1.jpg
- %TEMP%\encryptado.exe
- %WINDIR%\testando.exe
- %WINDIR%\ntdtcstp.dll
- %WINDIR%\cmsetac.dll
Удаляет следующие файлы
- %TEMP%\encryptado.exe
Сетевая активность
UDP
- DNS ASK tr#####kas.no-ip.org
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\criado.exe'
- '%TEMP%\encryptado.exe'
- '%WINDIR%\testando.exe' \melt "%TEMP%\Encryptado.exe"
Запускает на исполнение
- '%WINDIR%\testando.exe' \melt "%TEMP%\Encryptado.exe" (со скрытым окном)
