Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'igfxmsw' = 'C:\intel\logs\audiodq.exe'
Вредоносные функции
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Изменения в файловой системе
Создает следующие файлы
- C:\intel\logs\cetc technology transfer.docx
- C:\intel\logs\audiodq.exe
- C:\intel\logs\~$tc technology transfer.docx
Сетевая активность
UDP
- DNS ASK ar#####heworld123.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- 'C:\intel\logs\audiodq.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\winword.exe' /n "C:\intel\logs\CETC Technology Transfer.docx"
- '%WINDIR%\syswow64\reg.exe' ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /f /v igfxmsw /t REG_SZ /d "C:\intel\logs\audiodq.exe"
