Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'FlSPtvN2hHUvw13oCVbfFhU=' = '"%APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\bookmarkbackups\subst.exe"'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Завершает или пытается завершить
следующие пользовательские процессы:
- safari.exe
- opera.exe
- chrome.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\bookmarkbackups\subst.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'gq###d1o.umc.su':443
- 'sg#####s10woz8uy.umc.su':443
- 'tf#####jfv8yau.jeo.cc':443
- 'uq#####y0h8b2y.umc.su':443
- '22###s.jeo.cc':443
- '0n###mst.umc.su':443
- 'my###.umc.su':443
- 'xg#####d50qj9tx.gmz.cc':443
UDP:
- DNS ASK qm####deh.jeo.cc
- DNS ASK 5y####jj8y81.gmz.cc
- DNS ASK ds####k65oo.jeo.cc
- DNS ASK tx####nuao.jeo.cc
- DNS ASK rk###xw.gmz.cc
- DNS ASK py#####kfyijai.umc.su
- DNS ASK 3d#####hm189g.gmz.cc
- DNS ASK 0m####bnidd.gmz.cc
- DNS ASK xg#####d50qj9tx.gmz.cc
- DNS ASK my###.umc.su
- DNS ASK 0n###mst.umc.su
- DNS ASK 22###s.jeo.cc
- DNS ASK uq#####y0h8b2y.umc.su
- DNS ASK tf#####jfv8yau.jeo.cc
- DNS ASK sg#####s10woz8uy.umc.su
- DNS ASK gq###d1o.umc.su
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
