Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'LoadAppInit_DLLs' = '00000001'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] 'AppInit_Dlls' = '<SYSTEM32>\scriptpw32.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\srservice32] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\winnls32.exe
- <SYSTEM32>\kbdmac32.exe
- <SYSTEM32>\scriptpw32.exe
- %APPDATA%\SysWin\lsass.exe
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall add allowedprogram program="<SYSTEM32>\winnls32.exe" name="Windows Update Service" mode=ENABLE scope=ALL profile=ALL
Завершает или пытается завершить
следующие пользовательские процессы:
- chrome.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\02000000b4da02141109C.manifest
- <SYSTEM32>\02000000b4da02141109P.manifest
- <SYSTEM32>\kbdmac32.exe
- <SYSTEM32>\02000000b4da02141109S.manifest
- <SYSTEM32>\02000000b4da02141109O.manifest
- <SYSTEM32>\scriptpw32.dll
- <SYSTEM32>\scriptpw32.exe
- <SYSTEM32>\avmeter32.dll
- %APPDATA%\SysWin\lsass.exe
- <SYSTEM32>\winnls32.exe
- <SYSTEM32>\1444526677
Сетевая активность:
Подключается к:
- '89.##7.53.210':80
TCP:
Запросы HTTP GET:
- 89.##7.53.210/cookie/mJKV_1PddccPeTTfWEbTTPURWQOQOedTeWWaQU-6XBB_1WQQT-6GF5_1SR-tWWQP-6LC6_1Y-gW-gEUQQ-gE-tsDF6K5D_rpX51_rE-t-66FC_1Q_fQ_fQ_fQ_fQ_fQ_fQ_fQ_fTU-62BG_1Q-672V_1WWQP-6D85_1W-6N8J_1Q-6252_1WQYO-69LV_1-65GZ_1W-6N54_1UEQ-6
