Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows\directx\dxgiadaptercache
- <SYSTEM32>\tasks\windows\directx\directxdatabaseupdater
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\~.vxd
- %HOMEPATH%\boot.ini:srv
- %HOMEPATH%\boot.ini:namehistory
- %HOMEPATH%\boot.ini:termanaldrives
Сетевая активность
Подключается к
- 'te.#egra.ph':443
- 'te##type.in':443
- 'gr##h.org':443
TCP
Другие
- 'te.#egra.ph':443
- 'te##type.in':443
UDP
- DNS ASK te.#egra.ph
- DNS ASK te##type.in
- DNS ASK gr##h.org
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\boot.ini:SRV" //b /pillarCKQ /disbeliefsZl/roarzlp //e:vbscript
Запускает на исполнение
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\boot.ini:LNK" //b /pillarCKQ /disbeliefsZl/roarzlp //e:vbscript (со скрытым окном)
- '%ProgramFiles%\internet explorer\iexplore.exe' -Embedding
- '<SYSTEM32>\wscript.exe' "%HOMEPATH%\boot.ini:SRV" //b /pillarCKQ /disbeliefsZl/roarzlp //e:vbscript (со скрытым окном)
