Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TaskScheduler] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\<Служебное имя>.exe] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\<Имя вируса>.exe' <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' /pid=3160
- '<SYSTEM32>\sc.exe' /pid=3152
- '<SYSTEM32>\sc.exe' /pid=2660
- '<SYSTEM32>\sc.exe' /pid=3168
- '<SYSTEM32>\sc.exe' /pid=2896
- '<SYSTEM32>\sc.exe' description "<Имя вируса>.exe" <Имя вируса>.exe
- '<SYSTEM32>\sc.exe' Create "<Имя вируса>.exe" type= own type= interact start= auto DisplayName= "<Имя вируса>.exe" binPath= "cmd.exe /c start "c:\<Имя вируса>.exe"
- '<SYSTEM32>\sc.exe' description "TaskScheduler" К№УГ»§ДЬФЪґЛјЖЛг»ъЙПЕдЦГєНЦЖ¶ЁЧФ¶ЇИООсµДИХіМЎЈИз№ыґЛ·юОс±»ЦХЦ№Ј¬ХвР©ИООсЅ«ОЮ·ЁФЪИХіМК±јдАпФЛРРЎЈИз№ыґЛ·юОс±»ЅыУГЈ¬ИОєОТААµЛьµД·юОсЅ«ОЮ·ЁЖф¶ЇЎЈ
- '<SYSTEM32>\sc.exe' Create "TaskScheduler" type= own type= interact start= auto DisplayName= "јЖ»®ИООс" binPath= "cmd.exe /c start "%WINDIR%\<Имя вируса>.exe"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\sc.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\<Имя вируса>.exe
- %WINDIR%\<Имя вируса>.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\<Имя вируса>.exe
- %WINDIR%\<Имя вируса>.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':8888
- 'aw###.3322.org':8888
UDP:
- DNS ASK aw###.3322.org
