Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'MSSMSGS' = 'rundll32.exe winvwc32.rom,RLIVtw'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fmr37d1.tmp
- %WINDIR%\syswow64\winvwc32.rom
- %TEMP%\fmr37d1.bat
Удаляет следующие файлы
- %TEMP%\fmr37d1.tmp
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK sa###oft.net
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\FMR37D1.bat" (со скрытым окном)
