Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'LastEnum' = 'RunDll32.exe "%APPDATA%\apisvcd.dll",Start'
Вредоносные функции:
Запускает на исполнение:
- '%TEMP%\ose000000.exe' "<Полный путь к вирусу>"
- '<SYSTEM32>\rundll32.exe' "%APPDATA%\apisvcd.dll",Start ""
- '%APPDATA%\winUproll.exe' ""
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ose000000.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\search[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\search[1].htm
- %APPDATA%\winUproll.exe
- %TEMP%\EU_Eastern_Europe_agenda_BA_3_Nov_2015.pdf
- %APPDATA%\apisvcd.dll
Удаляет следующие файлы:
- %APPDATA%\winUproll.exe
Сетевая активность:
Подключается к:
- '10#.#71.117.216':80
TCP:
Запросы HTTP POST:
- http://10#.#71.117.216/search.php
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
