Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Svchost Service] 'ImagePath' = '"<SYSTEM32>\ras\svchost.exe" -service'
- [<HKLM>\SYSTEM\ControlSet001\Services\Svchost Service] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ras\svchost.exe' = '<SYSTEM32>\ras\svchost.exe:*:Enabled:sv...
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start "Svchost Service"
- '<SYSTEM32>\net.exe' start "Svchost Service"
- '<SYSTEM32>\ras\svchost.exe' -service_run
- '<SYSTEM32>\ras\svchost.exe' -service
- '<SYSTEM32>\net.exe' stop "Svchost Service"
- '<SYSTEM32>\ras\svchost.exe' -uninstall
- '<SYSTEM32>\ras\svchost.exe' -install
- '<SYSTEM32>\net1.exe' stop "Svchost Service"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ras\winhlp32.exe
- %TEMP%\nsf2.tmp\SimpleFC.dll
- <SYSTEM32>\ras\svchost.ini
- <SYSTEM32>\ras\svchost.exe
- <SYSTEM32>\ras\svchost.dll
Сетевая активность:
Подключается к:
- 'localhost':5862
- 'localhost':7359
- 'localhost':17133
- 'localhost':6908
- 'localhost':8405
- 'localhost':16088
- 'localhost':14520
- 'localhost':16016
- 'localhost':5791
- 'localhost':15565
- 'localhost':17062
- 'localhost':7431
- 'localhost':21316
- 'localhost':20793
- 'localhost':12587
- 'localhost':13110
- 'localhost':11090
- 'localhost':9522
- 'localhost':9973
- 'localhost':18702
- 'localhost':8476
- 'localhost':11019
- 'localhost':19747
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
