Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauc'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauc'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*' = '"%ALLUSERSPROFILE%\WinMngr\svchost.exe"'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.3huX6
- <SYSTEM32>\Firewall.cpl.1qer99
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.B0718HIps файлом <SYSTEM32>\mmc.exe.B0718HIps
- <SYSTEM32>\Firewall.cpl.172L43Mi файлом <SYSTEM32>\Firewall.cpl.172L43Mi
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\WinMngr\procmon.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP15\rp.log
- <SYSTEM32>\mmc.exe.39O8o02
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP15\RestorePointSize
- <SYSTEM32>\firewall.cpl:Zone.Identifier
- <SYSTEM32>\mmc.exe:Zone.Identifier
- <SYSTEM32>\Firewall.cpl.6XTKAoj00
- <SYSTEM32>\mmc.exe.new
- %ALLUSERSPROFILE%\WinMngr\procmon.exe
- <SYSTEM32>\firewall.cpl.new
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\fifo.log
- <SYSTEM32>\mmc.exe.p13gZN12H
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\WinMngr\procmon.exe
Удаляет следующие файлы:
- <SYSTEM32>\CWAxTSMzOZNsdpvBFcRRfqQMp
- <SYSTEM32>\mmc.exe:Zone.Identifier
- <SYSTEM32>\pVUiVNqJhvWxeIbNWNbx
- <SYSTEM32>\lbKJPSBIXOWDHXJCsfYIn
- <SYSTEM32>\wELwCKpJFWCXpal
- <SYSTEM32>\WcIrQvEvuwSCnpGzl
Перемещает следующие системные файлы:
- <SYSTEM32>\uekJKibocoCZxF в <SYSTEM32>\IgXAFZVQRdzIMyBVc
- <SYSTEM32>\IgXAFZVQRdzIMyBVc в <SYSTEM32>\EoJwQrrPPLQpBDa
- <SYSTEM32>\EoJwQrrPPLQpBDa в <SYSTEM32>\oJnoBgtOdOyDnIHti
- <SYSTEM32>\nbYOSPCRQwHlk в <SYSTEM32>\uekJKibocoCZxF
- <SYSTEM32>\mmc.exe.3huX6 в <SYSTEM32>\GKZxdRmNmGhfUIMlA
- <SYSTEM32>\GKZxdRmNmGhfUIMlA в <SYSTEM32>\wiuSkPmHCMzFP
- <SYSTEM32>\wiuSkPmHCMzFP в <SYSTEM32>\nbYOSPCRQwHlk
- <SYSTEM32>\bqZcgqpFTbTfGZ@K в <SYSTEM32>\OmpTBLldhQWkRj
- <SYSTEM32>\OmpTBLldhQWkRj в <SYSTEM32>\lONukvmQbZUeU
- <SYSTEM32>\lONukvmQbZUeU в <SYSTEM32>\wELwCKpJFWCXpal
- <SYSTEM32>\xaXsKANeflQLX в <SYSTEM32>\bqZcgqpFTbTfGZ@K
- <SYSTEM32>\oJnoBgtOdOyDnIHti в <SYSTEM32>\NavrTerVaAmsElOTT
- <SYSTEM32>\NavrTerVaAmsElOTT в <SYSTEM32>\JqZKLoAbyZEZfXv
- <SYSTEM32>\JqZKLoAbyZEZfXv в <SYSTEM32>\xaXsKANeflQLX
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.3huX6
- <SYSTEM32>\DfNdAGRMRbxpnc@aDlGcUL в <SYSTEM32>\nEgdRtuGtOJKxNpeyjsjnR
- <SYSTEM32>\nEgdRtuGtOJKxNpeyjsjnR в <SYSTEM32>\OgXgqvMnWEqWllGFqiuZYU
- <SYSTEM32>\OgXgqvMnWEqWllGFqiuZYU в <SYSTEM32>\ylOswysiMXffiDxlfqMauXl
- <SYSTEM32>\GeOBWNkkxFAAucIiLgnI в <SYSTEM32>\DfNdAGRMRbxpnc@aDlGcUL
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.1qer99
- <SYSTEM32>\Firewall.cpl.1qer99 в <SYSTEM32>\EXESKYYmHfabsCHHlGMR
- <SYSTEM32>\EXESKYYmHfabsCHHlGMR в <SYSTEM32>\GeOBWNkkxFAAucIiLgnI
- <SYSTEM32>\EOSQpKszzmIoVWLNYOSX в <SYSTEM32>\uBQtxtqJuoaUEzpVZUxPrQ
- <SYSTEM32>\uBQtxtqJuoaUEzpVZUxPrQ в <SYSTEM32>\ShmYxflqCqPxEUcZVUQDdB
- <SYSTEM32>\ShmYxflqCqPxEUcZVUQDdB в <SYSTEM32>\lbKJPSBIXOWDHXJCsfYIn
- <SYSTEM32>\CoqxCBCobnTJzLwoogOb в <SYSTEM32>\EOSQpKszzmIoVWLNYOSX
- <SYSTEM32>\ylOswysiMXffiDxlfqMauXl в <SYSTEM32>\tKJfpbpxKiasqnEaNPLgWh
- <SYSTEM32>\tKJfpbpxKiasqnEaNPLgWh в <SYSTEM32>\HnPpDaRoOPGsiXkhnPlWk
- <SYSTEM32>\HnPpDaRoOPGsiXkhnPlWk в <SYSTEM32>\CoqxCBCobnTJzLwoogOb
Перемещает следующие файлы:
- <SYSTEM32>\ElasBLwnTygySVtRxpiNrfXB в <SYSTEM32>\YkUtnQLVzUUJUMyFVTlpyjqE
- <SYSTEM32>\EMpQeuYsYEXhaaEChsXfO в <SYSTEM32>\MFyKzxeaUjPmgECMgSscQ
- <SYSTEM32>\MFyKzxeaUjPmgECMgSscQ в <SYSTEM32>\IINEQISCKxgXHCLwVrRMS
- <SYSTEM32>\IINEQISCKxgXHCLwVrRMS в <SYSTEM32>\YXzVtTYQWSTMNbTiBnOLi
- <SYSTEM32>\YkUtnQLVzUUJUMyFVTlpyjqE в <SYSTEM32>\oxWpTKqMvmYZM@kMQfnXeRfRZ
- <SYSTEM32>\xhVfoPSVIVReyeOpvSbSJe в <SYSTEM32>\ElasBLwnTygySVtRxpiNrfXB
- <SYSTEM32>\mlIodJvSjRDwcIulJcAGPoBgl в <SYSTEM32>\funevNUApLsbxZKw`vMPEiAx
- <SYSTEM32>\PASovEKIbN@uIkoLwD в <SYSTEM32>\wmcnAKpnLKiOiXSGMXyH
- <SYSTEM32>\wmcnAKpnLKiOiXSGMXyH в <SYSTEM32>\AhkqEEsphBmDRhBNkprr
- <SYSTEM32>\AhkqEEsphBmDRhBNkprr в <SYSTEM32>\EMpQeuYsYEXhaaEChsXfO
- <SYSTEM32>\funevNUApLsbxZKw`vMPEiAx в <SYSTEM32>\xhVfoPSVIVReyeOpvSbSJe
- <SYSTEM32>\oxWpTKqMvmYZM@kMQfnXeRfRZ в <SYSTEM32>\gMaNymZbdUJbjATqvgpeyXn
- <SYSTEM32>\KOjbiXikmDhleiQMNjoJG в <SYSTEM32>\xyVrNncMozRRsFYBGwo
- <SYSTEM32>\QgYrsuxeiLwckYDBXqeII в <SYSTEM32>\KOjbiXikmDhleiQMNjoJG
- <SYSTEM32>\xyVrNncMozRRsFYBGwo в <SYSTEM32>\MlFzoUKJRpNSiNdfcGbS
- <SYSTEM32>\DvkHcmytZMGraqgdRmuG в <SYSTEM32>\pVUiVNqJhvWxeIbNWNbx
- <SYSTEM32>\MlFzoUKJRpNSiNdfcGbS в <SYSTEM32>\DvkHcmytZMGraqgdRmuG
- <SYSTEM32>\kteQGCQSyttyncgWV в <SYSTEM32>\QgYrsuxeiLwckYDBXqeII
- <SYSTEM32>\gMaNymZbdUJbjATqvgpeyXn в <SYSTEM32>\vZMscoYSIlDSXpSyBtupLHfy
- <SYSTEM32>\YXzVtTYQWSTMNbTiBnOLi в <SYSTEM32>\lCBTnPbpBoIpyMyIE
- <SYSTEM32>\lCBTnPbpBoIpyMyIE в <SYSTEM32>\jzTdDaOatqvhTIegUjRP
- <SYSTEM32>\vZMscoYSIlDSXpSyBtupLHfy в <SYSTEM32>\CWAxTSMzOZNsdpvBFcRRfqQMp
- <SYSTEM32>\jzTdDaOatqvhTIegUjRP в <SYSTEM32>\kteQGCQSyttyncgWV
- <SYSTEM32>\CRfrGXDJRFKlVYEdpJCcSJmq в <SYSTEM32>\mlIodJvSjRDwcIulJcAGPoBgl
- <SYSTEM32>\yJKPqElMmhjTqGEJH в <SYSTEM32>\iQNYFVbqxMsKRqT
- <SYSTEM32>\UvvBvyzTcSwxRPg в <SYSTEM32>\yJKPqElMmhjTqGEJH
- <SYSTEM32>\iQNYFVbqxMsKRqT в <SYSTEM32>\IxbrjMblkwIhCoeY
- <SYSTEM32>\VxzMnByvsqcziOQxMg в <SYSTEM32>\yBRNiGBjUuljpvVQtV
- <SYSTEM32>\IxbrjMblkwIhCoeY в <SYSTEM32>\VxzMnByvsqcziOQxMg
- <SYSTEM32>\TEdKEJUzuxrXvlluzd в <SYSTEM32>\UvvBvyzTcSwxRPg
- <SYSTEM32>\hgwaaeGivDdIXCiVi в <SYSTEM32>\AOEFGuewLilpfui
- <SYSTEM32>\mmc.exe.39O8o02 в <SYSTEM32>\hgwaaeGivDdIXCiVi
- <SYSTEM32>\AOEFGuewLilpfui в <SYSTEM32>\AGDQsZmUtPhGtXTiX
- <SYSTEM32>\tSTCzfnYsONtYZH в <SYSTEM32>\TEdKEJUzuxrXvlluzd
- <SYSTEM32>\AGDQsZmUtPhGtXTiX в <SYSTEM32>\tSTCzfnYsONtYZH
- <SYSTEM32>\yBRNiGBjUuljpvVQtV в <SYSTEM32>\LkXDQPRThWOBMBi
- <SYSTEM32>\vOtTfuATMvMwktLkz в <SYSTEM32>\WcIrQvEvuwSCnpGzl
- <SYSTEM32>\mmc.exe.p13gZN12H в <SYSTEM32>\ZtmnzMhRdmkPSSiPfbz
- <SYSTEM32>\zvvYtumYHbHdSHLGIxgPBolcyj в <SYSTEM32>\CRfrGXDJRFKlVYEdpJCcSJmq
- <SYSTEM32>\vpGgCdyrpOwCxYBjUimj в <SYSTEM32>\PASovEKIbN@uIkoLwD
- <SYSTEM32>\ZtmnzMhRdmkPSSiPfbz в <SYSTEM32>\vpGgCdyrpOwCxYBjUimj
- <SYSTEM32>\OpSRzanehzhtusoUDMu в <SYSTEM32>\vOtTfuATMvMwktLkz
- <SYSTEM32>\LkXDQPRThWOBMBi в <SYSTEM32>\JOKRhVrRsgqryQJqn
- <SYSTEM32>\Firewall.cpl.6XTKAoj00 в <SYSTEM32>\hbAuPeEVeQfCCjBCJCnxeXzdh
- <SYSTEM32>\JOKRhVrRsgqryQJqn в <SYSTEM32>\KCgdpRwlHTrrlKOw
- <SYSTEM32>\hbAuPeEVeQfCCjBCJCnxeXzdh в <SYSTEM32>\zvvYtumYHbHdSHLGIxgPBolcyj
- <SYSTEM32>\KCgdpRwlHTrrlKOw в <SYSTEM32>\OpSRzanehzhtusoUDMu
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\WinMngr\svchost.exe
Сетевая активность:
Подключается к:
- 'so##c4us.in':80
TCP:
Запросы HTTP POST:
- so##c4us.in/l/page.php
UDP:
- DNS ASK so##c4us.in
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
