Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\GenericHostProcess] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' share admin$
- '<SYSTEM32>\net1.exe' share c$=c:\
- '<SYSTEM32>\net1.exe' localgroup %USERNAME%s guest /add
- '<SYSTEM32>\tlntsvr.exe'
- '<SYSTEM32>\net1.exe' share f$=f:\
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\tlntsvrp.dll
- '<SYSTEM32>\net1.exe' share d$=<Имя диска съемного носителя>:\
- '<SYSTEM32>\net1.exe' share e$=e:\
- '<SYSTEM32>\sc.exe' config tlntsvr start= auto
- '<SYSTEM32>\sc.exe' config schedule start= auto
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\MSWINSCK.OCX
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\ntsvc.ocx
- '<SYSTEM32>\net1.exe' user guest /active:yes
- '<SYSTEM32>\net1.exe' user guest qwer
- '<SYSTEM32>\net1.exe' start tlntsvr
- '<SYSTEM32>\net1.exe' start schedule
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\hxwdllwx.dll
- <SYSTEM32>\MSWINSCK.OCX
- <SYSTEM32>\ntsvc.ocx
Удаляет следующие файлы:
- %TEMP%\~DF5F52.tmp
