Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_DLLs' = ',%TEMP%\4424ymg.dll'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\WowMatris.exe
- C:\WowMatrix.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\a.baT" "
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\4424ymg.dll
- %TEMP%\a.baT
- <LS_APPDATA>\._Revolution_\._88e6680f0002000000004673000000005e92903c86e5058d003af8fdf1ba6dc5_00000998.pid
- C:\WowMatrix.exe
- C:\WowMatris.exe
Удаляет следующие файлы:
- C:\WowMatris.exe
Сетевая активность:
Подключается к:
- 'sw#####e.wowmatrix.com':80
TCP:
Запросы HTTP GET:
- sw#####e.wowmatrix.com/r/1350978268245/netstart.gz
UDP:
- DNS ASK sw#####e.wowmatrix.com
Другое:
Ищет следующие окна:
- ClassName: 'WindowsForms10.Window.8.app3' WindowName: ''
- ClassName: 'Turbine Device Class' WindowName: ''
- ClassName: 'GxWindowClassD3d' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
