Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'is_CRNJEUFU' = '%APPDATA%\is_%USERNAME%.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\is_%USERNAME%.exe' "<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\is_%USERNAME%.exe
Удаляет следующие файлы:
- <SYSTEM32>\d3d9caps.dat
Перемещает следующие файлы:
- <SYSTEM32>\d3d9caps.tmp в <SYSTEM32>\d3d9caps.dat
Сетевая активность:
Подключается к:
- '37.##.224.107':80
TCP:
Запросы HTTP GET:
- 37.##.224.107/BTS/mtm.drx
Другое:
Ищет следующие окна:
- ClassName: '獡彷癡灟灯灵睟摮汣獡s睹䅺䍂䕄䝆䥈䭊䵌低児卒啔坖奘ず㈱㐳㘵㠷9' WindowName: ''
- ClassName: '??????????s???????????????????9' WindowName: ''
- ClassName: 'TFMAppClass' WindowName: 'is_%USERNAME%'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'OSKMainClass' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'TFMAppClass' WindowName: '<Имя вируса>'
