Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'recovery' = '<SYSTEM32>\udfengui.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{22d7f312-b0f6-11d2-94ab-0080c33c7e95}] 'StubPath' = 'rundll32.exe <SYSTEM32>\themeuichk.dll,ThemesSetupInstallCheck'
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\spoolcds] 'Name' = '<SYSTEM32>\spoolcds.dll'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\SA.DAT
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\udfengui.exe
- <SYSTEM32>\dspipwm.exe
- %TEMP%\6d5b297d-3507-42a7-8301-d38b8b8d8382
- <SYSTEM32>\mgrhosttapi.exe
- <SYSTEM32>\svcudfdhcp.ocx
- <SYSTEM32>\uimgrsrv.exe
- %TEMP%\8f5864a5-bff5-4050-a799-e4821331957c
- <SYSTEM32>\ntsrvmon.exe
- <SYSTEM32>\fwmonmgr.exe
- %TEMP%\fc8d083c-228b-4c18-a3a7-d01ada8cac42
Сетевая активность:
Подключается к:
- '82.##6.47.163':21
