Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\FileOpenerPro\shell\open\command] '' = '"%PROGRAM_FILES%\FileOpener\FileOpener.exe" "%1"'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\FileOpener\uninstall.exe
- %TEMP%\install.log
- <LS_APPDATA>\ApplicationHistory\<Имя вируса>.exe.bf81a5f0.ini
- %PROGRAM_FILES%\FileOpener\settings.txt
- %PROGRAM_FILES%\FileOpener\FileOpener.exe
- %PROGRAM_FILES%\FileOpener\AxSHDocVw.dll
- %PROGRAM_FILES%\FileOpener\SHDocVw.dll
Удаляет следующие файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2844.120953
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2844.120828
Перемещает следующие системные файлы:
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\enterprisesec.config.cch.2844.120953
- %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch в %WINDIR%\Microsoft.NET\Framework\v1.1.4322\CONFIG\security.config.cch.2844.120828
Сетевая активность:
Подключается к:
- 'im##############y-1085035873.us-east-1.elb.amazonaws.com':80
TCP:
Запросы HTTP GET:
- im##############y-1085035873.us-east-1.elb.amazonaws.com/impression.do/?ev##################################################################
UDP:
- DNS ASK im##############y-1085035873.us-east-1.elb.amazonaws.com
