Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft System Update' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\MSHELPR.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\MSHELPR.exe
Сетевая активность:
Подключается к:
- 'fr####.omegle.com':80
- 'zv###vzx.zz.mu':80
TCP:
Запросы HTTP GET:
- fr####.omegle.com/start?rc###############################################
- zv###vzx.zz.mu/bot/command.php?id##############################################
UDP:
- DNS ASK fr####.omegle.com
- DNS ASK zv###vzx.zz.mu
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'sdfjhlsdjflksdfjnsad'
- ClassName: '(null)' WindowName: 'fhdfghsdfvsdfsdfgdfvdf'
