Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "%TEMP%\Spec\ilasm.exe"'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' "<Полный путь к вирусу>"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Spec\data\identity.dat
- %TEMP%\Spec\ilasm.exe
- %TEMP%\77a98759-3dee-4204-9eb1-10199fc09334
- %TEMP%\Spec\data\log.dat
Сетевая активность:
Подключается к:
- 'cl####ub.no-ip.org':49256
UDP:
- DNS ASK cl####ub.no-ip.org
