Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\low\50c0.tmp
- %TEMP%\yywt.vbh
- <Текущая директория>\03usa4mr.bat
Удаляет файлы, которые сам же создал
- %TEMP%\low\50c0.tmp
- %TEMP%\yywt.vbh
Подменяет следующие файлы
- %TEMP%\yywt.vbh
Сетевая активность
UDP
- DNS ASK google.com
- DNS ASK ap#.msn.com
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'ApplicationFrameWindow' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: 'BluetoothNotificationAreaIconWindowClass'
- ClassName: 'BluetoothNotificationAreaIconWindowClass' WindowName: ''
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\explorer.exe'
- '%WINDIR%\systemapps\microsoft.windows.search_cw5n1h2txyewy\searchapp.exe' -ServerName:CortanaUI.AppX8z9r6jm96hw4bsbneegw0kyxx296wr9t.mca
- '<SYSTEM32>\svchost.exe' -k appmodel -p -s camsvc
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\03uSA4MR.bat" <Имя файла>.exe" (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe' -r -s -h <Имя файла>.exe
