Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'NP' = '"c:\MajNP.exe"'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- <SYSTEM32>\netsh.exe advfirewall firewall add rule name=MAJNP dir=in action=allow program=C:\MajNP.exe enable=yes
- <SYSTEM32>\cmd.exe /c ""c:\run.bat""
Изменения в файловой системе:
Создает следующие файлы:
- C:\run.bat
- %TEMP%\gentee1B\setup_temp.gea
- %TEMP%\genteert.dll
- %TEMP%\gentee1B\guig.dll
Сетевая активность:
Подключается к:
- 'www.af####esduweb.com':80
TCP:
Запросы HTTP GET:
- www.af####esduweb.com/getserialnumber.php?a=#
UDP:
- DNS ASK www.af####esduweb.com
- '<IP-адрес в локальной сети>':1036
