Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SonyAgent' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' -queuereporting
Изменения в файловой системе:
Создает следующие файлы:
- \Device\HarddiskVolume1\Boot\BCD
- \Device\HarddiskVolume1\Boot\BCD.LOG
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- '5.##.215.152':80
- 'localhost':49197
- 'localhost':49200
- 'localhost':49203
- '17#.#51.115.1':80
- 'localhost':49191
- '19#.#91.247.47':80
- '17#.#51.244.1':80
- '17#.#9.14.52':80
- 'localhost':49194
- '17#.#.116.137':80
- 'localhost':49212
- 'localhost':49215
- '31.##.148.33':80
- '68.#9.87.0':80
- 'localhost':49206
- '17#.#6.60.45':80
- '10#.86.69.3':80
- '17#.#37.108.50':80
- 'localhost':49209
- 'localhost':49188
- 'localhost':49167
- '15#.#24.119.23':80
- '17#.#36.196.91':80
- '19#.#07.226.25':80
- 'localhost':49170
- '17#.#37.150.125':80
- 'localhost':49158
- 'localhost':49161
- 'localhost':49164
- '46.##8.101.224':80
- 'localhost':49182
- '46.##9.200.17':80
- '36.##4.144.83':80
- '31.##3.92.21':80
- 'localhost':49185
- '17#.#24.236.92':80
- 'localhost':49173
- 'localhost':49176
- 'localhost':49179
- '46.##.210.215':80
TCP:
Запросы HTTP GET:
- 10#.86.69.3/home.htm
- 31.##.148.33/install.htm
- 31.##3.92.21/install.htm
