Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'lmhsvcwow.exe' = '%WINDIR%\lmhsvcwow.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\lmhsvcwow.exe' = '%WINDIR%\lmhsvcwow.exe:*:Enabled:Windows Update Service'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%WINDIR%\lmhsvcwow.exe' = '%WINDIR%\lmhsvcwow.exe:*:Enabled:Windows Update Service'
Создает и запускает на исполнение:
- '%WINDIR%\lmhsvcwow.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram program="%WINDIR%\lmhsvcwow.exe" name="Windows Update Service" mode=ENABLE scope=ALL profile=ALL
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\B7420BB110B7C15335887CFEE63775BF\unrar.exe
- %WINDIR%\lmhsvcwow.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\B7420BB110B7C15335887CFEE63775BF\unrar.exe
- %WINDIR%\lmhsvcwow.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '89.##7.53.210':8080
- '91.##7.153.48':8080
- '10#.#35.49.220':8080
- '77.##.240.82':8080
TCP:
Запросы HTTP GET:
- 89.##7.53.210/update/r6DFR_W6F7Q_W6FMQ_W5KVbITEQbbWWQbIcWYRRYOOIcfeeURIIYbf_WGSCOQOQ_iQ_iQ_W51CTQUQ_W
- 91.##7.153.48/update/r6DFR_W6F7Q_W6FMQ_W5KVbITEQbbWWQbIcWYRRYOOIcfeeURIIYbf_WGSCOQOQ_iQ_iQ_W51CTQUQ_W
- 10#.#35.49.220/update/r6DFR_W6F7Q_W6FMQ_W5KVbITEQbbWWQbIcWYRRYOOIcfeeURIIYbf_WGSCOQOQ_iQ_iQ_W51CTQUQ_W
- 77.##.240.82/update/r6DFR_W6F7Q_W6FMQ_W5KVbITEQbbWWQbIcWYRRYOOIcfeeURIIYbf_WGSCOQOQ_iQ_iQ_W51CTQUQ_W
