Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '<Полный путь к файлу>'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- nul
Самоперемещается
- из <Полный путь к файлу> в <Полный путь к файлу>.deleted
Сетевая активность
UDP
- DNS ASK ap#.msn.com
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'ApplicationFrameWindow' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: 'BluetoothNotificationAreaIconWindowClass'
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "TIMEOUT /T 3 /NOBREAK >NUL & DEL \"<Полный путь к файлу>.deleted\" & EXIT"
- '<SYSTEM32>\timeout.exe' /T 3 /NOBREAK
- '%WINDIR%\explorer.exe'
- '%WINDIR%\systemapps\microsoft.windows.search_cw5n1h2txyewy\searchapp.exe' -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '<SYSTEM32>\werfault.exe' -u -p 3316 -s 5336 (со скрытым окном)
