Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'outlookmail.exe' = 'C:\ProgramData\Adobe\Bin\outlookmail.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ExpIorer.exe' = 'C:\ProgramData\Adobe\Bin\ExpIorer.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'winnit.exe' = 'C:\ProgramData\Adobe\Bin\winnit.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\notepad.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\ext[1].mp3
- C:\ProgramData\Adobe\Bin\ExpIorer.exe
- C:\ProgramData\Adobe\Bin\outlookmail.exe
- C:\ProgramData\Adobe\Bin\win.jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\1kjulai[1]
- %TEMP%\file
- %TEMP%\aut1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\altie[1].mp3
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\rmt[1].mp3
- C:\ProgramData\Adobe\Bin\winnit.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ProgramData\Adobe\Bin\outlookmail.exe
- C:\ProgramData\Adobe\Bin\ExpIorer.exe
- C:\ProgramData\Adobe\Bin\winnit.exe
Удаляет следующие файлы:
- %TEMP%\aut1.tmp
Сетевая активность:
Подключается к:
- 'bi#.ly':80
- '37.##7.35.223':80
TCP:
Запросы HTTP GET:
- 37.##7.35.223/downloadjune/ext.mp3
- bi#.ly/1kjulai
- 37.##7.35.223/downloadjune/altie.mp3
- 37.##7.35.223/downloadjune/rmt.mp3
UDP:
- DNS ASK bi#.ly
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
