Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\software\microsoft\windows\currentversion\run] 'IntelPowerAgent4' = 'rundll32.exe shell32.dll, ShellExec_RunDLL C:\PROGRA~3\DB2240~1.EXE'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\icardagt.exe
- %WINDIR%\syswow64\cmd.exe
- %WINDIR%\syswow64\attrib.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\db2240djjd.exe
- %TEMP%\3492473cd35c8bdceed8
- %LOCALAPPDATA%\bpr7234.tmp.bat
Удаляет следующие файлы
- %TEMP%\3492473cd35c8bdceed8
Сетевая активность
UDP
- DNS ASK eb####tazce-ru.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\icardagt.exe' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%LOCALAPPDATA%\bpr7234.tmp.bat" "<Полный путь к файлу>"" (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' -r -s -h "<Полный путь к файлу>"
