Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'z9a4n9yi5q9' = '%HOMEPATH%\z9a4n9yi5q9\86989.vbs'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe' = '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe:*:Enabled:RegSvcs.exe'
Создает и запускает на исполнение:
- '%HOMEPATH%\z9a4n9yi5q9\aTvDLHHckm.com' rwINYdTYB
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe" "RegSvcs.exe" ENABLE
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\RegSvcs.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\z9a4n9yi5q9\78181.cmd
- %HOMEPATH%\z9a4n9yi5q9\86989.vbs
- %HOMEPATH%\z9a4n9yi5q9\run.vbs
- %HOMEPATH%\z9a4n9yi5q9\JwXsQ.JWS
- %HOMEPATH%\z9a4n9yi5q9\dOlgdxLujoA.SHT
- %HOMEPATH%\z9a4n9yi5q9\aTvDLHHckm.com
- %HOMEPATH%\z9a4n9yi5q9\rwINYdTYB
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\z9a4n9yi5q9\JwXsQ.JWS
- %HOMEPATH%\z9a4n9yi5q9\86989.vbs
- %HOMEPATH%\z9a4n9yi5q9\78181.cmd
- %HOMEPATH%\z9a4n9yi5q9\dOlgdxLujoA.SHT
- %HOMEPATH%\z9a4n9yi5q9\aTvDLHHckm.com
- %HOMEPATH%\z9a4n9yi5q9\rwINYdTYB
Сетевая активность:
Подключается к:
- 'ew####n.no-ip.org':16540
UDP:
- DNS ASK ew####n.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
