Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'FileRescue' = 'C:\ZeroLocker\ZeroRescue.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Shortcut to startup_local.lnk.encrypt
- %HOMEPATH%\Start Menu\Programs\Startup\desktop.ini.encrypt
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini.encrypt
Изменения в файловой системе:
Создает следующие файлы:
- C:\ZeroLocker\temp.dat
- C:\ZeroLocker\address.dat
- C:\ZeroLocker\ZeroRescue.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '5.###.171.47':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- 5.###.171.47/zConfig/77045
- 5.###.171.47/zImprimer/3547962209-zc5bkYC3oh02QaUUdY8k-1BiXC9sJA1q3kfCQqLs1ibPqkdapRtPZX5
- wp#d/wpad.dat
- 5.###.171.47/patriote/sansviolence
UDP:
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
