Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Hiva\kaic.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp12f1544f.bat"
- '%APPDATA%\Hiva\kaic.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\Far2\Plugins\ftp\hosts]
- [<HKCU>\SOFTWARE\ftpware\coreftp\sites]
- [<HKLM>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\Far\Plugins\ftp\hosts]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\SOFTWARE\Ghisler\Total Commander]
- [<HKCU>\Software\Microsoft\Windows Live Mail]
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1609' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp12f1544f.bat
- %APPDATA%\Okny\giisk.ure
- %APPDATA%\Hiva\kaic.exe
Самоудаляется.
Сетевая активность:
UDP:
- '15#.#1.13.202':16453
- '79.##.14.125':27335
- '46.##8.120.195':27492
- '78.##.114.192':10991
- '82.##7.134.37':14678
- '69.##6.252.246':11879
- '79.##.188.141':17017
- '71.##.144.207':19861
- '68.##1.112.104':12855
