Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'ejzgg' = '%TEMP%\ejzgg\13282.vbs'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\ejzgg\svchost.VzvowSYrEe' QsdnjE.EGU
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /IM mshta.exe
- '<SYSTEM32>\mshta.exe'
- '<SYSTEM32>\wscript.exe' "%TEMP%\ejzgg\jkqOnPcAhE.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ejzgg\kGqZHe.OVD
- %TEMP%\ejzgg\76157.cmd
- %TEMP%\ejzgg\13282.vbs
- %TEMP%\ejzgg\QsdnjE.EGU
- %TEMP%\ejzgg\MjurCJ.MHJ
- %TEMP%\ejzgg\svchost.VzvowSYrEe
- %TEMP%\ejzgg\jkqOnPcAhE.vbs
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\ejzgg\kGqZHe.OVD
- %TEMP%\ejzgg\13282.vbs
- %TEMP%\ejzgg\76157.cmd
- %TEMP%\ejzgg\QsdnjE.EGU
- %TEMP%\ejzgg\MjurCJ.MHJ
- %TEMP%\ejzgg\svchost.VzvowSYrEe
- %TEMP%\ejzgg\jkqOnPcAhE.vbs
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
