Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{8QLLBWH0-V1S3-6V3Q-32FP-HCE3N5X84778}] 'StubPath' = '"%APPDATA%\taskmgrr.EXE"'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- aa.exe
- taskmgrr.exe
- launcher.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\aa.exe
- %TEMP%\ixp000.tmp\divxin~1.exe
- %APPDATA%\taskmgrr.exe
Сетевая активность
Подключается к
- 'do####ad.divx.com':80
TCP
Запросы HTTP GET
- http://do####ad.divx.com/divx/setup/DivXSetupRes_dpi96.dll
- http://do####ad.divx.com/divx/setup/manifest.cab
UDP
- DNS ASK do####ad.divx.com
- DNS ASK su#####unk.no-ip.biz
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\aa.exe'
- '%TEMP%\ixp000.tmp\divxin~1.exe'
- '%APPDATA%\taskmgrr.exe'
Запускает на исполнение
- '%ProgramFiles(x86)%\opera\launcher.exe' "%APPDATA%\taskmgrr.EXE"
- '%TEMP%\ixp000.tmp\aa.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\divxin~1.exe' (со скрытым окном)
- '%APPDATA%\taskmgrr.exe' (со скрытым окном)
