Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] '{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}' = ''
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\] 'MSServer' = 'rundll32.exe <SYSTEM32>\urqPfGYP.dll,#1'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{AEBA21FA-782A-4A90-978D-B72164C80120}' = '{1a,37,61,59,23,52,35,0c,7a,5f,20,17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,1...
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1A10' = '00000000'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '{A8A88C49-5EB2-4990-A1A2-0876022C854F}' = '{1a,37,61,59,23,52,35,0c,7a,5f,20,17,2f,1e,1a,19,0e,2b,01,73,13,37,13,12,1...
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\is166707(6).exe
- %TEMP%\ixp000.tmp\6956_watermark_fix_orbit30.exe
- %WINDIR%\syswow64\urqpfgyp.dll
- %TEMP%\ddcbatqp.bat
Сетевая активность
UDP
- DNS ASK ch##dhe.com
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\is166707(6).exe'
- '%TEMP%\ixp000.tmp\6956_watermark_fix_orbit30.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\urqPfGYP.dll,a
- '%WINDIR%\syswow64\cmd.exe' /c %TEMP%\ddcbAtqP.bat "%TEMP%\IXP000.TMP\is166707(6).exe" (со скрытым окном)
