Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '*CryptoLocker' = '"<LS_APPDATA>\Fpivibovqxopnnv.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'CryptoLocker' = '"<LS_APPDATA>\Fpivibovqxopnnv.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '<LS_APPDATA>\Fpivibovqxopnnv.exe' -wd4
- '<LS_APPDATA>\Fpivibovqxopnnv.exe' "-r<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\NLK57D1.tmp
- %TEMP%\TKS4560.tmp
- %TEMP%\EHO88F4.tmp
- <LS_APPDATA>\Fpivibovqxopnnv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <LS_APPDATA>\Fpivibovqxopnnv.exe
Удаляет следующие файлы:
- %TEMP%\TKS4560.tmp
- %TEMP%\NLK57D1.tmp
- %TEMP%\EHO88F4.tmp
Самоудаляется.
Сетевая активность:
UDP:
- DNS ASK dh#####yfnbulyi.info
- DNS ASK wy#####yvknaius.co.uk
- DNS ASK qt####bxhqfgtgu.com
- DNS ASK so####ntetkftgj.biz
- DNS ASK fc####xucqgtuif.net
- DNS ASK uk####olxjvtici.net
- DNS ASK im####iqmakoo.com
- DNS ASK hr####teweephfm.biz
- DNS ASK jm####gathjojps.org
- DNS ASK ue####jdyhibptu.ru
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
