Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Antivir_boom' = '<SYSTEM32>\boom.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\boom1.exe'
- '<SYSTEM32>\boom.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\w7e2.tmp
- %TEMP%\w7e3.tmp
- <SYSTEM32>\boom1.exe
- %TEMP%\w7e1.tmp
- <SYSTEM32>\boom.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\boom1.exe
- <SYSTEM32>\boom.exe
Удаляет следующие файлы:
- %TEMP%\w7e2.tmp
- %TEMP%\w7e1.tmp
Сетевая активность:
Подключается к:
- '37.##9.47.148':80
TCP:
Запросы HTTP GET:
- 37.##9.47.148/fins/gate.php?q=######
Другое:
Ищет следующие окна:
- ClassName: 'Button' WindowName: 'btn'
