Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SonyAgent' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\taskhost.exe'
- '<SYSTEM32>\wermgr.exe' -queuereporting
Изменения в файловой системе:
Создает следующие файлы:
- \Device\HarddiskVolume1\Boot\BCD
- \Device\HarddiskVolume1\Boot\BCD.LOG
Сетевая активность:
Подключается к:
- '11#.#85.53.122':80
- 'localhost':49179
- 'localhost':49176
- 'localhost':49173
- '24.##3.99.152':80
- 'localhost':49185
- '18#.#73.156.210':80
- '18#.#44.24.213':80
- '71.##.127.153':80
- 'localhost':49182
- '19#.#07.75.45':80
- 'localhost':49164
- 'localhost':49161
- 'localhost':49158
- '67.##0.137.101':80
- 'localhost':49170
- '71.#5.79.70':80
- '93.##.132.200':80
- '18#.#2.213.115':80
- 'localhost':49167
TCP:
Запросы HTTP GET:
- 18#.#73.156.210/start.htm
- 18#.#44.24.213/welcome.htm
- 24.##3.99.152/default.htm
- 71.##.127.153/file.htm
- 67.##0.137.101/file.htm
