Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run] 'sysload' = '%TEMP%\winlogon.vbs'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\updata.exe' 53 vnenglish.gnway.net
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run" /v sysload /t REG_SZ /d %TEMP%\winlogon.vbs
- '<SYSTEM32>\reg.exe' delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run" /v sysload /f
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Crypto\winhlp32.cab
- %TEMP%\winlogon.vbs
- %APPDATA%\Microsoft\Crypto\winhlp32.vbs
- %TEMP%\windmp32.cab
- <Текущая директория>\updata.exe
- %TEMP%\winlogon.bat
- %APPDATA%\Microsoft\Crypto\winhlp32.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\updata.exe
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- 'vn####ish.gnway.net':53
UDP:
- DNS ASK vn####ish.gnway.net
