Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '*gXp5lJQ' = ''
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%HOMEPATH%\Local Settings\r7uPmylz\jYzNydZT.XNP",F1fe768
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
- <Служебный элемент>
- <SYSTEM32>\ctfmon.exe
- %WINDIR%\Explorer.EXE
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Google\Google Talk\Accounts]
- [<HKCU>\Software\Paltalk]
Скрывает следующие процессы:
- <SYSTEM32>\rundll32.exe
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\r7uPmylz\8dNVqc7r.pVU
- %HOMEPATH%\Local Settings\r7uPmylz\KbYda-C6.gdy
- %HOMEPATH%\Local Settings\r7uPmylz\auGx_Pp2.3xi
- %HOMEPATH%\Local Settings\r7uPmylz\jYzNydZT.XNP
- %HOMEPATH%\Local Settings\r7uPmylz\40CWzTk3.8W2
Сетевая активность:
Подключается к:
- 'wp#d':80
TCP:
Запросы HTTP GET:
- wp#d/wpad.dat
UDP:
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
