Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'VirtualVisit' = '<SYSTEM32>\VVT\vchost.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'TINTSETP' = '<SYSTEM32>\TINTSETP.exe'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\juemi.exe
- %WINDIR%\syswow64\coco.exe
- %TEMP%\ixp000.tmp\coco.exe
- %TEMP%\ixp001.tmp\coco.exe
- %TEMP%\~1831.bat
- %TEMP%\ixp001.tmp\tv.reg
- %WINDIR%\pand.txt
- %TEMP%\ixp001.tmp\ftp.txt
- %TEMP%\ixp001.tmp\123.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~1831.bat
Удаляет следующие файлы
- %TEMP%\ixp001.tmp\ftp.txt
Сетевая активность
Подключается к
- 'ww###.1tt.net':21
UDP
- DNS ASK ww###.1tt.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\coco.exe'
- '%TEMP%\ixp000.tmp\coco.exe'
- '%TEMP%\ixp001.tmp\coco.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\~1831.bat %TEMP%\IXP001.TMP\coco.exe (со скрытым окном)
- '%WINDIR%\syswow64\regedit.exe' /s tv.reg
- '%WINDIR%\syswow64\ftp.exe' -s:ftp.txt
- '%WINDIR%\syswow64\cmd.exe' /c type "<SYSTEM32>\vvt.txt"
- '%TEMP%\ixp000.tmp\coco.exe' (со скрытым окном)
- '%TEMP%\ixp001.tmp\coco.exe' (со скрытым окном)
