Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'pjsxdpyajc' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 5 -w 1
- '<SYSTEM32>\taskkill.exe' /f /pid 2824
- '<SYSTEM32>\cmd.exe' /c taskkill /f /pid 2824 & for /l %x in (1,1,60) do ping 127.0.0.1 -n 5 -w 1 & del /q /f "<Полный путь к вирусу>" & if not exist "<Полный путь к вирусу>" exit
Сетевая активность:
Подключается к:
- 'g.###agis.ru':80
TCP:
Запросы HTTP GET:
- http://g.###agis.ru/%f3%07%27%f6%46%d3%36%86%27%f6%d6%56%f5%56%87%47%56%e6%37%96%f6%e6%62%67%56%27%37%96%f6%e6%d3%33%e2%43%03%62%76%57%96%46%d3%46%63%13%33%36%33%93%33%56%13%13%33%43%66%83%43%1...
UDP:
- DNS ASK g.###agis.ru
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
