Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'SystemClean' = '\spuninst.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\FGXWgKd7] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\FGXWgKd7] 'ImagePath' = '<SYSTEM32>\svchost.exe -k FGXWgKd7'
- [HKLM\SYSTEM\CurrentControlSet\Services\FGXWgKd7\Parameters] 'ServiceDll' = '<SYSTEM32>\Q7VfZC.pic'
Создает следующие сервисы
- 'FGXWgKd7' <SYSTEM32>\svchost.exe -k FGXWgKd7
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles(x86)%\msdn\thunder7.0.exe
- %TEMP%\nst5e46.tmp\system.dll
- %WINDIR%\syswow64\q7vfzc.pic
- %WINDIR%\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\start menu\desktop.ini
Удаляет следующие файлы
- %TEMP%\nst5e46.tmp\system.dll
- %ProgramFiles(x86)%\msdn\thunder7.0.exe
Самоудаляется.
Сетевая активность
UDP
- DNS ASK a3####5049.3322.org
Другое
Создает и запускает на исполнение
- '%ProgramFiles(x86)%\msdn\thunder7.0.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k FGXWgKd7
- '%WINDIR%\syswow64\cmd.exe' \c del C:\PROGRA~2\MSDN\THUNDE~1.EXE (со скрытым окном)
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\q7vfzc.pic,main FGXWgKd7
