Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] '17bwy4nav' = '%HOMEPATH%\17bwy4nav\60509.vbs'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\start.lnk
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%HOMEPATH%\17bwy4nav\gYnUacVKmbgM.exe' yNmW.XUA
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\17bwy4nav\78478.cmd
- %HOMEPATH%\17bwy4nav\NewWinRARZIParchive.zip
- %HOMEPATH%\17bwy4nav\run.vbs
- %HOMEPATH%\17bwy4nav\60509.vbs
- %HOMEPATH%\17bwy4nav\gYnUacVKmbgM.exe
- %HOMEPATH%\17bwy4nav\CGGgGA.KRM
- %HOMEPATH%\17bwy4nav\JwIT.MZZ
- %HOMEPATH%\17bwy4nav\yNmW.XUA
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\17bwy4nav\60509.vbs
- %HOMEPATH%\17bwy4nav\78478.cmd
- %HOMEPATH%\Start Menu\Programs\Startup\start.lnk
- %HOMEPATH%\17bwy4nav\JwIT.MZZ
- %HOMEPATH%\17bwy4nav\CGGgGA.KRM
- %HOMEPATH%\17bwy4nav\gYnUacVKmbgM.exe
- %HOMEPATH%\17bwy4nav\yNmW.XUA
Сетевая активность:
Подключается к:
- 'st#####ogic.no-ip.info':1234
UDP:
- DNS ASK st#####ogic.no-ip.info
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
