Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'MSSMSGS' = 'rundll32.exe windco32.rom,rPMfAyshK'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ejia62d.exe
- %TEMP%\gfrb29c.tmp
- %TEMP%\ejib1b3.exe
- %WINDIR%\syswow64\windco32.rom
- %TEMP%\gfrb29c.bat
Удаляет следующие файлы
- %TEMP%\gfrb29c.tmp
Перемещает следующие файлы
- %TEMP%\ejib1b3.exe в %TEMP%\fd52.tmp
Сетевая активность
UDP
- DNS ASK ob####fseher.net
- DNS ASK li###6b0.com
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'PROGMAN' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ejia62d.exe'
- '%TEMP%\ejib1b3.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\gfrB29C.bat" (со скрытым окном)
