Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cyadicon' = '%PROGRAM_FILES%\cyadicon\cyadicon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\cyadicon\cyadicon.exe
- %PROGRAM_FILES%\cyadicon\cyinsproc.exe <Полный путь к вирусу>;
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c c:\DelUS.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsz2.tmp\System.dll
- %PROGRAM_FILES%\cyadicon\cyconfig.ini
- C:\DelUS.bat
- %PROGRAM_FILES%\cyadicon\uninstall.exe
- %PROGRAM_FILES%\cyadicon\cyadicon.exe
- %PROGRAM_FILES%\cyadicon\cyremoveproc.exe
- %PROGRAM_FILES%\cyadicon\cyinsproc.exe
Удаляет следующие файлы:
- %PROGRAM_FILES%\cyadicon\cyinsproc.exe
- %TEMP%\nsz2.tmp\System.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'en#.#yad.co.kr':80
- 'lo#.#yad.co.kr':80
TCP:
Запросы HTTP GET:
- en#.#yad.co.kr/index2.php?co#########################################
- lo#.#yad.co.kr/su.php?co#############################################
UDP:
- DNS ASK en#.#yad.co.kr
- DNS ASK lo#.#yad.co.kr
