Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'FlashPlayer' = '%HOMEPATH%\Documents\Adobe\FlashPlayer.exe'
- [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\Documents\Adobe\FlashPlayer.exe'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startupx\system.pif
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- b.exe
- flashplayer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\b.exe
- %TEMP%\ixp000.tmp\b.ex_
- %LOCALAPPDATA%\csidl_
- %LOCALAPPDATA%\csidl_x
- %HOMEPATH%\documents\adobe\flashplayer.exe
- %TEMP%\ecopayz_hatasi1.jpg
- %HOMEPATH%\documents\adobe\flashplayer.ex_
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\csidl_
- %LOCALAPPDATA%\csidl_x
- %HOMEPATH%\documents\adobe\flashplayer.ex_
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\b.ex_
- %TEMP%\ixp000.tmp\b.exe
- %LOCALAPPDATA%\csidl_x
Сетевая активность
UDP
- DNS ASK se###m.ddns.net
Другое
Ищет следующие окна
- ClassName: 'NarratorUIClass' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\b.exe'
- '%HOMEPATH%\documents\adobe\flashplayer.exe'
