Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN] '<Имя файла>' = '<Полный путь к файлу>'
- [HKLM\SOFTWARE\Wow6432Node\MICROSOFT\WINDOWS\CURRENTVERSION\RUN] '<Имя файла>' = '<Полный путь к файлу>'
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FileMonClass', WindowName: ''
- ClassName: 'RegMonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\explorer\<Имя файла>.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Изменяет файл HOSTS.
Сетевая активность
UDP
- DNS ASK br#####v1.dyndns.info
Другое
Ищет следующие окна
- ClassName: 'ThunderRT6FormDC' WindowName: 'Shareware Cheater v 3.0'
- ClassName: 'ThunderRT6FormDC' WindowName: ''
