Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Cy' = '%WINDIR%\ime\smss.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\ime\smss.exe' /pid=2720
- '%WINDIR%\ime\smss.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ime\smss.exe
Удаляет следующие файлы:
- %TEMP%\~DF5437.tmp
- %TEMP%\~DF8C0C.tmp
- %TEMP%\~DFA506.tmp
- %TEMP%\~DFDCD9.tmp
- %TEMP%\~DF6BE4.tmp
- %TEMP%\~DFD5D2.tmp
- %TEMP%\~DFF653.tmp
- %TEMP%\~DF340A.tmp
- %TEMP%\~DFBBC7.tmp
- %TEMP%\~DFF881.tmp
- %TEMP%\~DF1404.tmp
- %TEMP%\~DF7D89.tmp
- %TEMP%\~DF138.tmp
- %TEMP%\~DF6431.tmp
- %TEMP%\~DF6A98.tmp
- %TEMP%\~DFA228.tmp
- %TEMP%\~DFE39D.tmp
- %TEMP%\~DF50C1.tmp
- %TEMP%\~DF7044.tmp
- %TEMP%\~DFAC08.tmp
- %TEMP%\~DF17BC.tmp
- %TEMP%\~DF52A8.tmp
- %TEMP%\~DF8FA5.tmp
- %TEMP%\~DFCA19.tmp
- %TEMP%\~DFB4BD.tmp
- %TEMP%\~DFF3DD.tmp
- %TEMP%\~DF1432.tmp
- %TEMP%\~DF4BC3.tmp
- %TEMP%\~DFD37B.tmp
- %TEMP%\~DFB11.tmp
- %TEMP%\~DF28D7.tmp
- %TEMP%\~DF9295.tmp
- %TEMP%\~DFC022.tmp
- %TEMP%\~DFF77A.tmp
- %TEMP%\~DF1888.tmp
- %TEMP%\~DF8234.tmp
- %TEMP%\~DFD669.tmp
- %TEMP%\~DF4747.tmp
- %TEMP%\~DF6208.tmp
- %TEMP%\~DF9EDA.tmp
- %TEMP%\~DF918E.tmp
- %TEMP%\~DFC81E.tmp
- %TEMP%\~DFA9A.tmp
- %TEMP%\~DF2626.tmp
- %TEMP%\~DFAA02.tmp
- %TEMP%\~DFE16B.tmp
- %TEMP%\~DFFA3D.tmp
- %TEMP%\~DF70BD.tmp
- %TEMP%\~DF5537.tmp
- %TEMP%\~DFC602.tmp
- %TEMP%\~DFDFF9.tmp
- %TEMP%\~DF1DB3.tmp
- %TEMP%\~DFA335.tmp
- %TEMP%\~DFE20E.tmp
- %TEMP%\~DF408.tmp
- %TEMP%\~DF3B8E.tmp
- %TEMP%\~DF2324.tmp
- %TEMP%\~DF5D94.tmp
- %TEMP%\~DF852D.tmp
- %TEMP%\~DFBC7E.tmp
- %TEMP%\~DF43D9.tmp
- %TEMP%\~DF7A07.tmp
- %TEMP%\~DF952E.tmp
- %TEMP%\~DF316.tmp
Сетевая активность:
Подключается к:
- 'pu#.#aran.com':80
TCP:
Запросы HTTP GET:
- pu#.#aran.com/tmfflvldrh/smss.exe
- pu#.#aran.com/tmfflvldrh/ZomVersion.txt
UDP:
- DNS ASK pu#.#aran.com
