Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{FFFB03AD-A461-4B99-9A23-D3B127D7C995}' = ''
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\] 'MSServer' = 'rundll32.exe <SYSTEM32>\opnlKccC.dll,#1'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,52,35,0c,7a,5f,20,17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,1...
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000000'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,52,35,0c,7a,5f,20,17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,1...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\keygen~1.exe
- %TEMP%\ixp000.tmp\uninst~1.exe
- %WINDIR%\syswow64\gebusmcy.dll
- %WINDIR%\syswow64\opnlkccc.dll
- %TEMP%\removalfile.bat
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\uninst~1.exe'
- '%TEMP%\ixp000.tmp\keygen~1.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\opnlKccC.dll,a
- '%WINDIR%\syswow64\cmd.exe' \c %TEMP%\removalfile.bat "%TEMP%\IXP000.TMP\UNINST~1.EXE" (со скрытым окном)
