Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '8YY173E92N4LNE2707T6BM4KK' = '%TEMP%\404.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'wOrm.exe' = '%TEMP%\404.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\8YY173E92N4LNE2707T6BM4KK.exe
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf.lnk
- <Имя диска съемного носителя>:\Windows Media Player.exe.lnk
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Umbrella.flv.exe
- <Имя диска съемного носителя>:\Windows Media Player.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\404.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\autorun.inf
- %WINDIR% Media Player.exe
- %TEMP%\404.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Windows Media Player.exe
- %WINDIR% Media Player.exe
- <Имя диска съемного носителя>:\Umbrella.flv.exe
- C:\autorun.inf
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\Windows Media Player.exe.lnk
- <Имя диска съемного носителя>:\autorun.inf.lnk
Сетевая активность:
Подключается к:
- 'ca#####tin.no-ip.info':81
UDP:
- DNS ASK ca#####tin.no-ip.info
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
