Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wnscr' = '<SYSTEM32>\WSTN32.scr /xe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\WSTN32.scr' = '<SYSTEM32>\WSTN32.scr:*:Enabled:IEProc'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\WSTN32.scr' = '<SYSTEM32>\WSTN32.scr:*:Enabled:IEProc'
Создает и запускает на исполнение:
- '<SYSTEM32>\WSTN32.scr' /xe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\a1.tmp
- %TEMP%\a2.tmp
- <DRIVERS>\WINTNT.bin
- <SYSTEM32>\WSTN32.scr
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\WSTN32.scr
- <DRIVERS>\WINTNT.bin
Сетевая активность:
Подключается к:
- '38.##9.38.221':21
