Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '.exe' = '"%APPDATA%\.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\.exe'
- '%TEMP%\tasteimg.jpg.exe'
- '<Текущая директория>\boazinha.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %APPDATA%\Dreams_of_Eternal_Harmony_by_StriderDen.jpg
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 3
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\boazinha.bat""
- '<SYSTEM32>\calc.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Recent\Dreams_of_Eternal_Harmony_by_StriderDen.lnk
- %HOMEPATH%\Recent\Application Data.lnk
- %APPDATA%\.exe
- %TEMP%\tasteimg.jpg.exe
- %TEMP%\1.tmp\boazinha.bat
- <Текущая директория>\boazinha.exe
- %APPDATA%\Dreams_of_Eternal_Harmony_by_StriderDen.jpg
Удаляет следующие файлы:
- %TEMP%\tasteimg.jpg.exe
- %TEMP%\1.tmp\boazinha.bat
- <Текущая директория>\boazinha.exe
Сетевая активность:
Подключается к:
- 'ma#####ytu.no-ip.biz':4431
UDP:
- DNS ASK ma#####ytu.no-ip.biz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
