Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*WindowsMngr' = '"%ALLUSERSPROFILE%\WindowsMngr\svchost.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauc'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauc'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.Z7W8c
- <SYSTEM32>\Firewall.cpl.6651D
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\firewall.cpl:Zone.Identifier
- <SYSTEM32>\mmc.exe:Zone.Identifier
- %ALLUSERSPROFILE%\WindowsMngr\procmon.exe
- %TEMP%\nsv2.tmp
- %TEMP%\umbels\chervil.xbe
- %TEMP%\nsh3.tmp\strongyles.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\WindowsMngr\procmon.exe
Удаляет следующие файлы:
- <SYSTEM32>\QbJfaXVlKgzuquaA
- <SYSTEM32>\ohVLYjxLLxQtnjBKew
- %TEMP%\nsh3.tmp\strongyles.dll
Перемещает следующие системные файлы:
- <SYSTEM32>\CrpfRemECtYtbYh в <SYSTEM32>\LcRWthVOcWaNTjWjZ
- <SYSTEM32>\mmc.exe.Z7W8c в <SYSTEM32>\CrpfRemECtYtbYh
- <SYSTEM32>\tMDzxdSznRzCPJ в <SYSTEM32>\cUNAYcXiZJQgn
- <SYSTEM32>\LcRWthVOcWaNTjWjZ в <SYSTEM32>\tMDzxdSznRzCPJ
- <SYSTEM32>\mVLmYdUnyHdrLPfKjpGI в <SYSTEM32>\wZJYfqqAnxbhARjdbMbb
- <SYSTEM32>\fWgfJWWCjfRtPHtsAl в <SYSTEM32>\mVLmYdUnyHdrLPfKjpGI
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.Z7W8c
- <SYSTEM32>\wZJYfqqAnxbhARjdbMbb в <SYSTEM32>\ohVLYjxLLxQtnjBKew
- <SYSTEM32>\cUNAYcXiZJQgn в <SYSTEM32>\IiDFEUweveIlaDS
- <SYSTEM32>\YqGjaxPLjMGJN в <SYSTEM32>\ucXhpXMhDkfIvB
- <SYSTEM32>\xxsXYqTysoRfHh в <SYSTEM32>\YqGjaxPLjMGJN
- <SYSTEM32>\RZlkVSvZOIUbVRyN в <SYSTEM32>\QbJfaXVlKgzuquaA
- <SYSTEM32>\ucXhpXMhDkfIvB в <SYSTEM32>\RZlkVSvZOIUbVRyN
- <SYSTEM32>\PzkcFvnZJxuMdUFKn в <SYSTEM32>\eDAJewpiCvHNqJ
- <SYSTEM32>\IiDFEUweveIlaDS в <SYSTEM32>\PzkcFvnZJxuMdUFKn
- <SYSTEM32>\plsWeEAjdaGbarqOw в <SYSTEM32>\xxsXYqTysoRfHh
- <SYSTEM32>\eDAJewpiCvHNqJ в <SYSTEM32>\plsWeEAjdaGbarqOw
- <SYSTEM32>\nGhbrRIYCxQLEgsYFPJK в <SYSTEM32>\APBuLEhdawyGqgMyzdW
- <SYSTEM32>\EaGySixfUTuNLeOrjUq в <SYSTEM32>\nGhbrRIYCxQLEgsYFPJK
- <SYSTEM32>\VitwZRhRCxAMAuhgtOl в <SYSTEM32>\pYGecBbAUwAFoFWqSQ
- <SYSTEM32>\APBuLEhdawyGqgMyzdW в <SYSTEM32>\VitwZRhRCxAMAuhgtOl
- <SYSTEM32>\Firewall.cpl.6651D в <SYSTEM32>\YtYgrGmWvkVGjybaFS
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.6651D
- <SYSTEM32>\ScxiBorObAemLUfahJQ в <SYSTEM32>\EaGySixfUTuNLeOrjUq
- <SYSTEM32>\YtYgrGmWvkVGjybaFS в <SYSTEM32>\ScxiBorObAemLUfahJQ
- <SYSTEM32>\pYGecBbAUwAFoFWqSQ в <SYSTEM32>\phFZPiNWSoIoVdUDPArEYn
- <SYSTEM32>\OMyVNcEmImPmmYszz в <SYSTEM32>\LTpPgPdhiNjBhJNHdLtRT
- <SYSTEM32>\hLplKnlbVWsQWDdBfPclAm в <SYSTEM32>\OMyVNcEmImPmmYszz
- <SYSTEM32>\YzTlAmMMHabsAKhOOn в <SYSTEM32>\fWgfJWWCjfRtPHtsAl
- <SYSTEM32>\LTpPgPdhiNjBhJNHdLtRT в <SYSTEM32>\YzTlAmMMHabsAKhOOn
- <SYSTEM32>\PkzQonytGmnvPDEdbVRfZv в <SYSTEM32>\poHyBCgLflaQWDHTCwGsO
- <SYSTEM32>\phFZPiNWSoIoVdUDPArEYn в <SYSTEM32>\PkzQonytGmnvPDEdbVRfZv
- <SYSTEM32>\PGECfyPcnrazMbveHMu в <SYSTEM32>\hLplKnlbVWsQWDdBfPclAm
- <SYSTEM32>\poHyBCgLflaQWDHTCwGsO в <SYSTEM32>\PGECfyPcnrazMbveHMu
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\WindowsMngr\svchost.exe
Сетевая активность:
Подключается к:
- 'www.al###meagaaa.ws':80
TCP:
Запросы HTTP POST:
- www.al###meagaaa.ws/l/page.php
UDP:
- DNS ASK www.al###meagaaa.ws
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
