Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wblogon' = '%WINDIR%\SysWOW64\ubpr01.exe'
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\ubpr01.exe
- %WINDIR%\syswow64\120237\120237.dll
- C:\tmp2.reg
- C:\3452234.bat
Удаляет следующие файлы
- C:\tmp2.reg
Подменяет следующие файлы
- C:\tmp2.reg
Самоудаляется.
Другое
Ищет следующие окна
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\ubpr01.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\120237\120237.dll" (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s c:\tmp2.reg
- '%WINDIR%\syswow64\cmd.exe' /C del /F /Q "%ProgramFiles(x86)%\Mozilla Firefox\searchplugins\*.*" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c c:\3452234.bat (со скрытым окном)
- '%WINDIR%\syswow64\ubpr01.exe' (со скрытым окном)
