Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\soundman] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\soundman] 'ImagePath' = '%WINDIR%\mozila\ixpers.exe'
Создает следующие сервисы
- 'soundman' %WINDIR%\mozila\ixpers.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\mozila\config.ini
- %WINDIR%\mozila\fs.bat
- %WINDIR%\mozila\ixpers.exe
- %WINDIR%\mozila\txt.vbs
- %WINDIR%\mozila\butterfly that never flew.ppt
- %WINDIR%\mozila\directx.log
- %WINDIR%\mozila\enc_config.ini
Перемещает следующие файлы
- %WINDIR%\mozila\enc_config.ini в %WINDIR%\mozila\config.ini
Подменяет следующие файлы
- %WINDIR%\mozila\enc_config.ini
Сетевая активность
UDP
- DNS ASK ft#.#ecuina.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\mozila\txt.vbs"
- '%WINDIR%\mozila\ixpers.exe' -R
- '%WINDIR%\mozila\ixpers.exe' -I
- '%WINDIR%\mozila\ixpers.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\mozila\fs.bat" " (со скрытым окном)
- '%ProgramFiles%\microsoft office\office14\powerpnt.exe' "%WINDIR%\mozila\Butterfly That Never Flew.ppt"
- '%WINDIR%\syswow64\attrib.exe' +s +h %WINDIR%\mozila
