Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = '%APPDATA%\mmubv\msxsh.exe %APPDATA%\mmubv\fwmas.oxj'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\mmubv\msxsh.exe' %APPDATA%\mmubv\LRDWK
- '%APPDATA%\mmubv\msxsh.exe' fwmas.oxj
Запускает на исполнение:
- '%APPDATA%\Temp.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\mmubv\sgpdv.wib
- %APPDATA%\mmubv\lnjvj.jnr
- %APPDATA%\mmubv\uaqsg.nrl
- %APPDATA%\mmubv\gnshd.hpo
- %APPDATA%\mmubv\wqsbm.xin
- %APPDATA%\mmubv\aoond.nap
- %APPDATA%\mmubv\huvxc.cxh
- %APPDATA%\mmubv\vtrlc.fxp
- %APPDATA%\mmubv\rsboe.hok
- %APPDATA%\mmubv\LRDWK
- %APPDATA%\mmubv\sikmw.axe
- %APPDATA%\mmubv\iahlt.ntf
- %APPDATA%\mmubv\vglbb.emo
- %APPDATA%\mmubv\ncpjd.wuc
- %APPDATA%\mmubv\fwmas.oxj
- %APPDATA%\mmubv\msxsh.exe
- %APPDATA%\mmubv\mvveo.nmc
- %APPDATA%\mmubv\aghmd.net
- %APPDATA%\mmubv\incoe
- %APPDATA%\mmubv\YMQGIX
- %APPDATA%\mmubv\eqeof.cvv
- %APPDATA%\mmubv\mkmta.gwf
- %APPDATA%\mmubv\dgwsn.sus
- %APPDATA%\mmubv\blooc.cwk
- %APPDATA%\mmubv\dhiii.dfc
- %APPDATA%\mmubv\umlks.cpt
- %APPDATA%\mmubv\uujgu.xks
Удаляет следующие файлы:
- %APPDATA%\mmubv\LRDWK
Перемещает следующие системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe в %APPDATA%\Temp.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
