Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%APPDATA%\Roaming\6ubez7b6m6LkHHRW\imLnuZzoWISi.exe",explorer.exe'
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\Microsoft\Windows\W94cAWw6\W94cAWw6.svr
- %APPDATA%\Roaming\Microsoft\Windows\W94cAWw6\W94cAWw6.nfo
- %APPDATA%\Roaming\6ubez7b6m6LkHHRW\imLnuZzoWISi.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Roaming\Microsoft\Windows\W94cAWw6\W94cAWw6.svr
- %APPDATA%\Roaming\Microsoft\Windows\W94cAWw6\W94cAWw6.nfo
- %APPDATA%\Roaming\6ubez7b6m6LkHHRW\imLnuZzoWISi.exe
Удаляет следующие файлы:
- %APPDATA%\Roaming\Microsoft\Windows\W94cAWw6\W94cAWw6.svr
Изменяет файл HOSTS.
Сетевая активность:
UDP:
- DNS ASK jh#.#uckdns.org
- DNS ASK cv##.webhop.me
- DNS ASK je####4mi.noip.me
- DNS ASK dn#.##ftncsi.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
