Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\HTTP\shell\open\command] '' = '"F:\????\f1???\f1browser.exe" -- "%1"'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\ccmd.exe' <SYSTEM32>\jwlog.dll
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats" /f
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings" /f
- '<SYSTEM32>\cmd.exe' /c C:\NBMSClient\QQ6697646.bat
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /f
- '<SYSTEM32>\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /f
- '<SYSTEM32>\attrib.exe' +r +h +a <DRIVERS>\etc\hosts
- '<SYSTEM32>\attrib.exe' -r -h -a <DRIVERS>\etc\hosts
- '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats" /f
- '<SYSTEM32>\reg.exe' delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings" /f
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\winipsec.dll
- <SYSTEM32>\jwlog.dll
- <SYSTEM32>\ccmd.exe
- %WINDIR%\xplore.exe
- %WINDIR%\ipseccmd.exe
Удаляет следующие файлы:
- <SYSTEM32>\jwlog.dll
- %WINDIR%\xplore.exe
- %TEMP%\~DF1645.tmp
- %WINDIR%\Tasks\desktop.ini
- %WINDIR%\Tasks\SA.DAT
- <SYSTEM32>\ccmd.exe
Изменяет файл HOSTS.
