Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'updater' = '%CommonProgramFiles%\updater\wupdater.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %CommonProgramFiles%\updater\wupdater.exe
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\updater\data1.dat
- %CommonProgramFiles%\updater\data2.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mgmt[1].htm
- %CommonProgramFiles%\updater\delupdat.exe
- %CommonProgramFiles%\updater\wupdater.exe
- %CommonProgramFiles%\updater\sui.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\mgmt[1].htm
Сетевая активность:
Подключается к:
- 'up####.#hunderdownloads.com':80
TCP:
Запросы HTTP POST:
- up####.#hunderdownloads.com/service/mgmt.svr
UDP:
- DNS ASK up####.#hunderdownloads.com
