Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Helper' = 'wscript.exe "%TEMP%\profile.js"'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\profile.js
Сетевая активность
Подключается к
- 'le####nternet.com':80
TCP
Запросы HTTP GET
- http://le####nternet.com/txt.txt
UDP
- DNS ASK le####nternet.com
Другое
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "<PATH_SAMPLE>.js" "usb" (со скрытым окном)
