Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Taskman' = '%APPDATA%\vfbu.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
- ClassName: 'RegMonClass' WindowName: '(null)'
- ClassName: 'FileMonClass' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\vfbu.exe
- %TEMP%\2B34E233.TMP
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\vfbu.exe
Сетевая активность:
UDP:
- DNS ASK up####windows.net
- DNS ASK C�##��
- DNS ASK li####dates2000.com
- DNS ASK ��##��
Другое:
Ищет следующие окна:
- ClassName: 'Progman' WindowName: '(null)'
