Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' <SYSTEM32>\mgdm.dll /s
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- C:\Дж»р\ИЛ12.bmp
- C:\Дж»р\ґґЅЁ·їјд.bmp
- C:\Дж»р\ИЛ13.bmp
- C:\Дж»р\ИЛ15.bmp
- C:\Дж»р\ИЛ14.bmp
- C:\Дж»р\їЄКјУОП·3.bmp
- C:\Дж»р\їЄКјУОП·2.bmp
- C:\Дж»р\ПВЦГ¶Ґ.bmp
- C:\Дж»р\°µµДЧј±ё.bmp
- C:\Дж»р\ББµДЧј±ё.bmp
- C:\Дж»р\НЖјцµАѕЯ№Ш±Х.bmp
- C:\Дж»р\ЙПА.bmp
- C:\Дж»р\ПВА.bmp
- C:\Дж»р\З±·ь.bmp
- C:\Дж»р\ЗїT.bmp
- C:\Дж»р\ГЬВл·ї.bmp
- C:\Дж»р\І»±Јґж1.bmp
- C:\Дж»р\ЗлЗујУєГУС.bmp
- C:\Дж»р\ББµДПВЦГ¶Ґ.bmp
- C:\Дж»р\МЯИЛ.bmp
- C:\Дж»р\СыЗл.bmp
- C:\Дж»р\јУИлУОП·3.bmp
- C:\Дж»р\И·¶Ё1.bmp
- C:\Дж»р\И·¶Ё.bmp
- C:\Дж»р\И·¶Ё2.bmp
- C:\Дж»р\И·¶Ё4.bmp
- C:\Дж»р\И·¶Ё3.bmp
- C:\Дж»р\ѕЬѕш.bmp
- <SYSTEM32>\mgdm.dll
- C:\Дж»р\ХЅјЁ.bmp
- C:\Дж»р\їЄКјУОП·.bmp
- C:\Дж»р\јУИлУОП·.bmp
- C:\Дж»р\ЅбКшИ·¶Ё.bmp
- C:\Дж»р\И·ИП.bmp
- C:\Дж»р\іЖєЕ.bmp
- C:\Дж»р\ЅбКшИ·¶Ё2.bmp
- C:\Дж»р\јУИлУОП·2.bmp
- C:\Дж»р\ЅбКшИ·¶Ё3.bmp
- C:\Дж»р\ХвКЗ±¦ІШ.bmp
- C:\Дж»р\»о¶Ї№Ш±Х.bmp
- C:\Дж»р\ИЎПы1.bmp
- C:\Дж»р\№Ш±Х.bmp
- C:\Дж»р\ИЎПы.bmp
Сетевая активность:
Подключается к:
- 'yy.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- yy.com/
UDP:
- DNS ASK yy.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
