Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] 'MSSMSGS' = 'rundll32.exe winppa32.rom,GnPcJCRlapg'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\veg63e0.exe
- %TEMP%\svm6853.tmp
- %WINDIR%\syswow64\winppa32.rom
- %TEMP%\svm6853.bat
- %TEMP%\veg63e0.bat
Удаляет следующие файлы
- %TEMP%\svm6853.tmp
- %TEMP%\veg63e0.exe
Сетевая активность
UDP
- DNS ASK ob####fseher.net
Другое
Ищет следующие окна
- ClassName: 'IEFrame' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\veg63e0.exe' z2uDlPMmceHM
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\SVm6853.bat" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c "%TEMP%\veG63E0.bat" (со скрытым окном)
