Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{A0XC6A98-A14C-J35H-46UD-F5AR862J2AH5}] 'StubPath' = '<Полный путь к вирусу>'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:Windows Updater'
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{A0XC6A98-A14C-J35H-46UD-F5AR862J2AH5}" /v StubPath /t REG_SZ /d "<Полный путь к вирусу>" /f
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ACTIVE.ini
Сетевая активность:
Подключается к:
- 'go#####earch.8800.org':443
UDP:
- DNS ASK go#####earch.8800.org
