Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'MSSMSGS' = 'rundll32.exe winhwn32.rom,UBbmpy'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\btu2a4a.tmp
- %WINDIR%\syswow64\winhwn32.rom
- %TEMP%\btu2a4a.bat
Удаляет следующие файлы
- %TEMP%\btu2a4a.tmp
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK ob####fseher.net
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'PROGMAN' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\Btu2A4A.bat" (со скрытым окном)
