Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%APPDATA%\Microsoft\Security\Java.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\win32\Java.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\%USERNAME%log.dat
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%2.txt
- %APPDATA%\aa.exe
- %APPDATA%\Microsoft\Security\Java.exe
- %WINDIR%\win32\Java.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\%USERNAME%log.dat
- %WINDIR%\win32\Java.exe
Удаляет следующие файлы:
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%2.txt
Сетевая активность:
Подключается к:
- 'mu####ya.no-ip.org':1820
UDP:
- DNS ASK qu######rgentina.no-ip.org
- DNS ASK mu####ya.no-ip.org
- '<IP-адрес в локальной сети>':1035
