Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'delffnupd' = '<SYSTEM32>\cmd.exe /c del <SYSTEM32>\ffn.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\prepdll.exe check3.dll mirkaat.dll 1E66FF91-F081-49BF-ACCA-8940B9153B2C AB4971C8-F379-4561-8951-8A52DF6DB3AD
- %TEMP%\GLJ2.tmp <SYSTEM32>\mirkaat.dll
- <SYSTEM32>\prepdll.exe mirkaat.dll check2.dll 45E64E66-DA86-4C97-B546-B17F0DA56A07 771F72FE-0A19-4394-AFE8-839E6ACB9306
- <SYSTEM32>\prepdll.exe check2.dll check3.dll 9B33CD1D-69DC-4853-B830-83CAA8A1F1AF C8EBA50A-58C4-4614-983C-334610D11B0C
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\~GLH0003.TMP
- <SYSTEM32>\~GLH0002.TMP
- <SYSTEM32>\check2.dll
- <SYSTEM32>\mirkaat.dll
- <SYSTEM32>\check3.dll
- <SYSTEM32>\~GLH0001.TMP
- %TEMP%\GLJ2.tmp
- %TEMP%\GLC1.tmp
- %TEMP%\GLK3.tmp
- <SYSTEM32>\~GLH0000.TMP
- %TEMP%\GLM4.tmp
Удаляет следующие файлы:
- %TEMP%\GLJ2.tmp
- %TEMP%\GLK3.tmp
- %TEMP%\GLC1.tmp
- %TEMP%\GLM4.tmp
- <SYSTEM32>\prepdll.exe
- <SYSTEM32>\createsid.dll
- <SYSTEM32>\check3.dll
- <SYSTEM32>\check2.dll
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
