Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\sdra64.exe,'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\Microsoft\Protect\Credentials\winint.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\sdra64.exe
- %APPDATA%\Microsoft\Protect\Credentials\winint.exe
- %APPDATA%\Microsoft\Protect\Credentials\svcchost.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\sdra64.exe
- %APPDATA%\Microsoft\Protect\Credentials\svcchost.exe
Сетевая активность:
Подключается к:
- 'ww###.#egaupload.com':80
TCP:
Запросы HTTP GET:
- ww###.#egaupload.com/files/bf98dbc0f1b3c17c5d3dee59b18dabee/winint.exe
UDP:
- DNS ASK ww###.#egaupload.com
