Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'sys32' = '%APPDATA%\sys32.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\sys32.exe
- <SYSTEM32>\tasks\sys32
Вредоносные функции
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\sys32.exe'
- '%APPDATA%\sys32.exe'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\sys32.exe
- %APPDATA%\sys32.exe
Сетевая активность
UDP
- DNS ASK bb#######fffffffbs.oogkjuy.com
Другое
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc minute /mo 1 /tn "sys32" /tr "%APPDATA%\sys32.exe" (со скрытым окном)
- '<SYSTEM32>\taskeng.exe' {4E7B049C-AB6C-4FB6-AEE6-43A4FB1E7444} S-1-5-21-3691498038-2086406363-2140527554-1000:ybglnejihav\user:Interactive:[1]
- '%APPDATA%\sys32.exe' (со скрытым окном)
