Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'System' = ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\1.vbs
Удаляет следующие файлы
- %TEMP%\1.vbs
Сетевая активность
Подключается к
- 'tu####ollection.com':80
- 'hu###omains.com':443
TCP
Запросы HTTP GET
- http://www.tu####ollection.com/m5/index.php?id############################################
Другие
- 'hu###omains.com':443
UDP
- DNS ASK tu####ollection.com
- DNS ASK hu###omains.com
- DNS ASK ne#####ent-s2008a.com
- DNS ASK 0b#####or###nmovie.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cscript.exe' %TEMP%\1.vbs
