Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'DSF' = '%WINDIR%\Installer\6C1G0BA4-H15G-4F37-BD14-145DG16821EK}\installer.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'DSF' = '%WINDIR%\Installer\6C1G0BA4-H15G-4F37-BD14-145DG16821EK}\installer.exe'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ACPI' = '%WINDIR%\Installer\6C1G0BA4-H15G-4F37-BD14-145DG16821EK}\installer.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- launcher.exe
- installer.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\65d5a3b8
- %WINDIR%\installer\6c1g0ba4-h15g-4f37-bd14-145dg16821ek}\installer.exe
- %TEMP%\xx--xx--xx.txt
- %TEMP%\xxx.xxx
- %TEMP%\uuu.uuu
Удаляет следующие файлы
- %TEMP%\xx--xx--xx.txt
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Подменяет следующие файлы
- %TEMP%\uuu.uuu
- %TEMP%\xxx.xxx
Сетевая активность
UDP
- DNS ASK go######c1.servegame.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\installer\6c1g0ba4-h15g-4f37-bd14-145dg16821ek}\installer.exe'
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%ProgramFiles(x86)%\opera\launcher.exe'
