Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\win.txt
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WAP.exe
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'ng####8.mooo.com':80
- 'sm###.uol.com.br':587
TCP:
Запросы HTTP GET:
- ng####8.mooo.com/tmps/en.txt
UDP:
- DNS ASK ng####8.mooo.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK sm###.uol.com.br
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
