Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Windows Debugger 32' = '<SYSTEM32>\machineupper32.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\explorer.exe' = '%WINDIR%\explorer.exe:*:Enabled:Windows Debugger 32'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\explorer.exe"
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '%WINDIR%\explorer.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\machineupper32.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.bu##ale.biz':80
TCP:
Запросы HTTP GET:
- www.bu##ale.biz/consulting/index.php?id########################################################################################################
- www.bu##ale.biz/consulting/index.php?id#########################################################################################################
- www.bu##ale.biz/consulting/index.php?id##################################################################################################
UDP:
- DNS ASK www.bu##ale.biz
