Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe] 'Debugger' = '<SYSTEM32>\taskmgr.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'svhost.exe' = '%ALLUSERSPROFILE%\Documents\svhost.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c delete.bat
- '<SYSTEM32>\netsh.exe' firewall add portopening tcp 3389 all
- '<SYSTEM32>\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe" /v Debugger /t REG_SZ /d "<SYSTEM32>\taskmgr.exe" /f
- '<SYSTEM32>\reg.exe' add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
- '%ALLUSERSPROFILE%\Documents\system.exe'
- '%ALLUSERSPROFILE%\Documents\svhost.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %ALLUSERSPROFILE%\Documents\holiday-present.jpg
- '<SYSTEM32>\cmd.exe' /c netsh firewall add portopening tcp 3389 all & reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f & REG ADD "HKLM\...
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Documents\holiday-present.jpg
- <Текущая директория>\delete.bat
- %ALLUSERSPROFILE%\Documents\svhost.exe
- %ALLUSERSPROFILE%\Documents\system.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\Documents\system.exe
- %ALLUSERSPROFILE%\Documents\svhost.exe
Сетевая активность:
Подключается к:
- '83.##6.243.48':17425
- 'tr##org.ru':80
- '80.##4.96.251':80
TCP:
Запросы HTTP GET:
- http://tr##org.ru/bas.php
UDP:
- DNS ASK tr##org.ru
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
