Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32] 'wavemapper' = 'msacm32.drv'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\servicesc.exe' <Имя вируса>.exe
Запускает на исполнение:
- '<SYSTEM32>\taskkill.exe' /pid=216
- '<SYSTEM32>\reg.exe' /pid=3980
- '<SYSTEM32>\reg.exe' /im <Имя вируса>.exe /f
- '<SYSTEM32>\taskkill.exe' /pid=3104
- '<SYSTEM32>\reg.exe' /pid=3764
- '<SYSTEM32>\reg.exe' /pid=3748
- '<SYSTEM32>\reg.exe' /pid=3520
- '<SYSTEM32>\taskkill.exe' /pid=3748
- '<SYSTEM32>\reg.exe' /pid=3004
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32" /v wavemapper /t REG_SZ /d msacm32.drv /f
- '<SYSTEM32>\taskkill.exe' /im <Имя вируса>.exe /f
- '<SYSTEM32>\taskkill.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32" /v wavemapper /t REG_SZ /d msacm32.drv /f
- '<SYSTEM32>\reg.exe' /pid=3716
- '<SYSTEM32>\reg.exe' /pid=3544
- '<SYSTEM32>\reg.exe' /pid=3444
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\reg.exe
- <SYSTEM32>\taskkill.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\servicesc.exe
- <Текущая директория>\csh.dll
Сетевая активность:
Подключается к:
- '11#.#92.7.101':8018
- 'localhost':1038
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
