Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SONYGAMES' = '%APPDATA%\sonyman.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\4.tmp
- %TEMP%\2.tmp
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\4.tmp
- %ALLUSERSPROFILE%\Application Data\qmgr03.dat
- %APPDATA%\sonyman.exe
- %TEMP%\5.tmp
- %TEMP%\qmgr30321
- %TEMP%\1.tmp
- %TEMP%\3.tmp
- %TEMP%\2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\sonyman.exe
- %ALLUSERSPROFILE%\Application Data\qmgr03.dat
Удаляет следующие файлы:
- %TEMP%\5.tmp
- %TEMP%\4.tmp
- %TEMP%\qmgr30321
- %TEMP%\1.tmp
- %TEMP%\3.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '21#.#42.152.91':443
- '12#.#10.139.123':80
- '12#.#10.139.123':443
- '22#.#35.137.200':80
- '22#.#35.137.200':443
- '21#.#42.152.91':80
TCP:
Запросы HTTP POST:
- 12#.#10.139.123/0000/a250984.asp
- 21#.#42.152.91/0000/a247250.asp
- 22#.#35.137.200/0000/a229906.asp
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'WordPadClass' WindowName: ''
