Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%HOMEPATH%\Desktop\filename.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%HOMEPATH%\Desktop\filename.exe'
Вредоносные функции:
Запускает на исполнение:
- '%HOMEPATH%\Desktop\filename.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\filename.exe
- <Текущая директория>\PhoneVideo-July-02-2016-389393VD34243-(1)-A948arcs.mp4
- %APPDATA%\23EF5514-3059-436F-A4A7-4CEFAAB20EB1\run.dat
- %HOMEPATH%\Desktop\PhoneVideo-July-02-2016-389393VD34243-(1)-A948arcs.mp4
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\60E31627FDA0A46932B0E5948949F2A5
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\0797C381B2F87EB5A1D5573BD15BA4F4
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\0797C381B2F87EB5A1D5573BD15BA4F4
Сетевая активность:
Подключается к:
- 'cs#######-2-crl.verisign.com':80
- 'ne###############902384908jklsdf908234234sdfsdf.publicvm.com':9550
- 'wp#d':80
- 'crl.verisign.com':80
TCP:
Запросы HTTP GET:
- http://cs#######-2-crl.verisign.com/CSC3-2009-2.crl
- http://crl.verisign.com/pca3.crl
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK ne###############902384908jklsdf908234234sdfsdf.publicvm.com
- DNS ASK ne##############xcv908sdf908q908qwezsasdfxcv.publicvm.com
- DNS ASK cs#######-2-crl.verisign.com
- DNS ASK wp#d
- DNS ASK crl.verisign.com
