Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\wga\wga-fix.exe'
- 'C:\wga\MGADiag.exe'
- 'C:\wga\findkey.exe'
- 'C:\wga\wga.exe'
- 'C:\wga\Keygen.exe'
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\wga\chgxp.vbs" TYFQW-WGFRM-T9FTK-6HCQM-RG7PQ
- '<SYSTEM32>\cmd.exe' /c ""c:\wga\wga.cmd" "
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\Office Genuine Advantage\data\data.dat
- %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys\0815bf16972410afa1d0f7a79e609d9d_23ef5514-3059-436f-a4a7-4cefaab20eb1
- <DRIVERS>\etc\hosts1.bak
- %ALLUSERSPROFILE%\Application Data\Windows Genuine Advantage\data\data.dat
- %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys\d8da948435985b42e15d7047a4375625_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %ALLUSERSPROFILE%\Application Data\Microsoft\Crypto\RSA\MachineKeys\a44e5864deb7c17f1c228c78af423a10_23ef5514-3059-436f-a4a7-4cefaab20eb1
- <SYSTEM32>\Microsoft\Protect\S-1-5-18\673c92be-d8aa-46cb-b25f-c4bd9e92fb6e
- <SYSTEM32>\Microsoft\Protect\S-1-5-18\Preferred
- %TEMP%\nst3.tmp\System.dll
- C:\wga\wga-fix.exe
- C:\wga\chgxp.vbs
- C:\wga\wga.cmd
- C:\wga\wga.exe
- C:\wga\MGADiag.exe
- %TEMP%\nsd2.tmp
- C:\wga\findkey.exe
- C:\wga\Keygen.exe
Удаляет следующие файлы:
- %TEMP%\nst3.tmp\System.dll
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'localhost':443
Другое:
Ищет следующие окна:
- ClassName: 'BUTTON' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
