Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\msSystem] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\mupdate.exe'
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: 'TXGuiFoundation' WindowName: '(null)'
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\MSSETUP.TSK
- %TEMP%\WINDNSAPI.IME
- %TEMP%\~ЂB4D8\20130627181447_000021c4.tmp
- %TEMP%\~ЂBB16\C
- %TEMP%\MSAPI.DRV
- <Текущая директория>\mupdate.exe
- %TEMP%\MSSYSTEM.DRV
Удаляет следующие файлы:
- %TEMP%\WINDNSAPI.IME
- <Текущая директория>\mupdate.exe
- %TEMP%\MSAPI.DRV
- %TEMP%\MSSYSTEM.DRV
Перемещает следующие файлы:
- %TEMP%\~ЂB4D8\20130627181447_000021c4.a в %TEMP%\~ЂB4D8\20130627181447_000021c4.s
- %TEMP%\~ЂB4D8\20130627181447_000021c4.tmp в %TEMP%\~ЂB4D8\20130627181447_000021c4.a
- %TEMP%\MSSETUP.TSK в %WINDIR%\system\MSSETUP.TSK
Сетевая активность:
UDP:
- '20#.#6.177.33':8000
