Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{Q06P153G-6YN6-P2KB-711T-E5VVE8T7J4UR}] 'StubPath' = 'C:\Documents and Settings\Moad\Desktop\install\server.exe Restart'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Policies' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Policies' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\server.exe
- %TEMP%\server.sfx.exe -pmoadmed4 -d%HOMEPATH%\Local Settings\Temp
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\run.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\88E6680F\ak.tmp
- %TEMP%\%USERNAME%2.txt
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\server.sfx.exe
- %TEMP%\run.bat
- C:\Documents and Settings\Moad\Desktop\install\server.exe
- %TEMP%\server.exe
Удаляет следующие файлы:
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%2.txt
Сетевая активность:
Подключается к:
- 'gl####ed.no-ip.org':288
UDP:
- DNS ASK gl####ed.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
