Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'GoogleRuntimeUpdate' = '%TEMP%\GoogleRuntimeUpdate.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'GoogleRuntimeUpdate' = '%TEMP%\GoogleRuntimeUpdate.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%TEMP%\tmp1.tmp.exe";"%WINDIR%\Explorer.exe"'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%TEMP%\tmp2.tmp.exe";"%TEMP%\tmp1.tmp.exe";"%WINDIR%\Explorer.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\tmp2.tmp.exe' /pq
- '%TEMP%\tmp2.tmp.exe' /px
- '%APPDATA%\8106362249725717961213570167.exe'
- '%TEMP%\tmp1.tmp.exe' /pq
- '%TEMP%\tmp1.tmp.exe' /px
- '%TEMP%\GoogleRuntimeUpdate.exe'
- '%APPDATA%\8106362249725717961213570167.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp2.tmp.exe
- %APPDATA%\8106362249725717961213570167.exe
- %TEMP%\tmp1.tmp.exe
- %TEMP%\GoogleRuntimeUpdate.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\GoogleRuntimeUpdate.exe
Сетевая активность:
Подключается к:
- 'dl.##opbox.com':80
- 'fl####rc.sytes.net':6667
- '15#.49.0.0':8080
- 'wp#d':80
TCP:
Запросы HTTP GET:
- dl.##opbox.com/FileToDownload.exe
- wp#d/wpad.dat
UDP:
- DNS ASK fl####rc.sytes.net
- DNS ASK dl.##opbox.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
