Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Services' = '<DRIVERS>\services.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Winlogon' = '<DRIVERS>\winlogon.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<DRIVERS>\winlogon.exe' = '<DRIVERS>\winlogon.exe:*:Enabled:.NET Framework'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<DRIVERS>\csrss.exe' = '<DRIVERS>\csrss.exe:*:Enabled:.NET Framework Updates'
Создает и запускает на исполнение:
- '<DRIVERS>\winlogon.exe' updated
- '<DRIVERS>\services.exe' 2924
- '<DRIVERS>\winlogon.exe'
- '<DRIVERS>\csrss.exe' -winsock
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<DRIVERS>\winlogon.exe" ".NET Framework" ENABLE
- '<SYSTEM32>\regsvr32.exe' MSWINSCK.OCX /s
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<DRIVERS>\csrss.exe" ".NET Framework Updates" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\MSWINSCK.OCX
- <DRIVERS>\services.exe
- <DRIVERS>\winlogon.exe
- <DRIVERS>\csrss.exe
Удаляет следующие файлы:
- <DRIVERS>\csrss.exe
Сетевая активность:
Подключается к:
- 'tr##.no-ip.org':27047
- 'www.ho##ip.info':80
- 'www.cz###ution.com':80
TCP:
Запросы HTTP GET:
- www.ho##ip.info/
- www.cz###ution.com/download/MSWINSCK.OCX
UDP:
- DNS ASK tr##.no-ip.org
- DNS ASK www.ho##ip.info
- DNS ASK www.cz###ution.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
