Техническая информация
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f68e.tmp\batchfile.bat
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\nzmp02rz\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\97elh4pe\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ibr3meuv\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\whzeam5m\desktop.ini
- %TEMP%\selfdel0.bat
Удаляет следующие файлы
- %TEMP%\f68e.tmp\batchfile.bat
Изменяет следующие файлы
Подменяет следующие файлы
- %LOCALAPPDATA%\Microsoft\Windows\<INETFILES>\Content.IE5\desktop.ini
Самоудаляется.
Сетевая активность
Подключается к
- 'po####.hwgeneralins.com':443
TCP
Другие
- 'po####.hwgeneralins.com':443
UDP
- DNS ASK po####.hwgeneralins.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\F68E.tmp\batchfile.bat" "
- '%WINDIR%\syswow64\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2" /v "1609" /t REG_DWORD /d 00000000 /f
- '%WINDIR%\syswow64\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 8
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -nomerge https://portal.hwgeneralins.com
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\selfdel0.bat" " (со скрытым окном)
