Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe "<Полный путь к файлу>"'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{05I41M56-QW07-U20F-YX8T-VB4U6TP4UX63}] 'StubPath' = '"<Полный путь к файлу>"'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe"<Полный путь к файлу>",'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Microsoft' = '<Полный путь к файлу>'
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FileMonClass', WindowName: ''
- ClassName: 'OLLYDBG', WindowName: ''
Сетевая активность
UDP
- DNS ASK ds#####in.dyndns.org
Другое
Ищет следующие окна
- ClassName: '18467-41' WindowName: ''
Перезапускает анализируемый образец
Запускает на исполнение
- '%ProgramFiles(x86)%\opera\launcher.exe'
