Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MarkAny ContentSAFER' = '%TEMP%\<Имя вируса>.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' /pid=3580
- '<SYSTEM32>\reg.exe' /pid=3512
- '<SYSTEM32>\reg.exe' /pid=3400
- '<SYSTEM32>\reg.exe' /pid=3544
- '<SYSTEM32>\reg.exe' /pid=2408
- '<SYSTEM32>\reg.exe' /pid=3868
- '<SYSTEM32>\reg.exe' /pid=3772
- '<SYSTEM32>\reg.exe' /pid=3156
- '<SYSTEM32>\reg.exe' /c reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /f /v "MarkAny ContentSAFER" /t REG_SZ /d "%TEMP%\<Имя вируса>.exe" & exit
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' -t 8 -o http://ba######ve.zyns.com:9332 -u anaconda.1 -p 1111
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /f /v "MarkAny ContentSAFER" /t REG_SZ /d "%TEMP%\<Имя вируса>.exe"
- '<SYSTEM32>\reg.exe' /pid=2740
- '<SYSTEM32>\reg.exe' /pid=3060
- '<SYSTEM32>\reg.exe' /pid=2928
- '<SYSTEM32>\reg.exe' /pid=2840
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\reg.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\<Имя вируса>.exe
Сетевая активность:
Подключается к:
- 'ba####love.zyns.com':9332
UDP:
- DNS ASK ba####love.zyns.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
