Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'CTS' = '%WINDIR%\CTS.exe'
Заражает следующие исполняемые файлы
- <Имя диска съемного носителя>:\calc.exe
- %LOCALAPPDATA%\google\chrome\application\42.0.2311.135\delegate_execute.exe
- %LOCALAPPDATA%\google\chrome\application\42.0.2311.135\installer\setup.exe
- %LOCALAPPDATA%\google\chrome\application\42.0.2311.135\nacl64.exe
- %LOCALAPPDATA%\google\chrome\application\chrome.exe
- %APPDATA%\telegram desktop\telegram.exe
- %APPDATA%\telegram desktop\unins000.exe
- %APPDATA%\telegram desktop\updater.exe
- %HOMEPATH%\desktop\dotnetfx45_full_setup.exe
- %HOMEPATH%\desktop\winmine.exe
- %HOMEPATH%\desktop\wrar520.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\yea07nxib6luxu0.exe
- %WINDIR%\cts.exe
- %TEMP%\jusched.log
- %TEMP%\jds659759.tmp\jds659899.tmp
Перемещает следующие файлы
- %TEMP%\jds659759.tmp\jds659899.tmp в %TEMP%\jds659759.tmp\yea07nxib6luxu0.exe
Сетевая активность
Подключается к
- 'ja#######d-secure.oracle.com':443
TCP
Другие
- 'ja#######d-secure.oracle.com':443
UDP
- DNS ASK ja#######d-secure.oracle.com
Другое
Создает и запускает на исполнение
- '%TEMP%\yea07nxib6luxu0.exe'
- '%WINDIR%\cts.exe'
- '%TEMP%\jds659759.tmp\yea07nxib6luxu0.exe'
