Техническая информация
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/System32/srvany.exe"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/System32/instsrv.exe"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/System32/vnchooks.dll"
- <SYSTEM32>\reg.exe export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System %WINDIR%/System32\uac.reg /y
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/SysWOW64/srvany.exe"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/SysWOW64/instsrv.exe"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/SysWOW64/ultravnc.ini"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/ip.exe"
- <SYSTEM32>\chcp.com 1251
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\install.cmd" "
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/System32/ultravnc.ini"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/SysWOW64/svсhost.exe"
- <SYSTEM32>\attrib.exe +s +h +r "%WINDIR%/System32/svсhost.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\blat.dll
- %WINDIR%\ip.exe
- %TEMP%\1.tmp\ultravnc.ini
- %TEMP%\1.tmp\vnchooks.dll
- <SYSTEM32>\svсhost.exe
- <SYSTEM32>\instsrv.exe
- <SYSTEM32>\srvany.exe
- <SYSTEM32>\ultravnc.ini
- <SYSTEM32>\vnchooks.dll
- %TEMP%\1.tmp\blat.lib
- %TEMP%\1.tmp\instsrv.exe
- %TEMP%\1.tmp\install.cmd
- %TEMP%\1.tmp\blat.exe
- %TEMP%\1.tmp\ip.exe
- %TEMP%\1.tmp\start.js
- %TEMP%\1.tmp\svсhost.exe
- %TEMP%\1.tmp\realip.exe
- %TEMP%\1.tmp\srvany.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\vnchooks.dll
- <SYSTEM32>\instsrv.exe
- <SYSTEM32>\srvany.exe
- %WINDIR%\ip.exe
- <SYSTEM32>\svсhost.exe
- <SYSTEM32>\ultravnc.ini
