Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Defender' = '"%APPDATA%\WinDefender\windefender.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\svchost.exe'
- '%TEMP%\Installer.exe'
- '%TEMP%\svchost32.exe'
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s "%APPDATA%\IE\bho.dll"
- '<SYSTEM32>\regsvr32.exe' /u /s "%APPDATA%\IE\bho.dll"
- '<SYSTEM32>\wscript.exe' "%TEMP%\j.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\firefox@mozilla.com\chrome.manifest
- %APPDATA%\firefox@mozilla.com\install.rdf
- %TEMP%\j.vbs
- %TEMP%\svchost.exe
- %APPDATA%\WinDefender\windefender.exe
- %APPDATA%\IE\bho.dll
- %APPDATA%\IE\settings.dat
- %APPDATA%\firefox@mozilla.com\content\settings.js
- %APPDATA%\firefox@mozilla.com\content\overlay.js
- %APPDATA%\firefox@mozilla.com\content\overlay.xul
- %TEMP%\4.da_
- %TEMP%\5.da_
- %TEMP%\3.da_
- %TEMP%\1.da_
- %TEMP%\2.da_
- %TEMP%\8.da_
- %TEMP%\Installer.exe
- %TEMP%\svchost32.exe
- %TEMP%\6.da_
- %TEMP%\7.da_
Сетевая активность:
Подключается к:
- 'ks#####4.kimsufi.com':80
TCP:
Запросы HTTP GET:
- ks#####4.kimsufi.com/tools/parser.php?us######################################################################################
UDP:
- DNS ASK ks#####4.kimsufi.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
