Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Syswin32' = '%APPDATA%\framework.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\framework.exe
Запускает на исполнение:
- <SYSTEM32>\netsh.exe advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=out name=TeamView program="%TEMP%\teamviewer.exe"
- <SYSTEM32>\netsh.exe advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=in name=TeamView program="%TEMP%\teamviewer.exe"
- <SYSTEM32>\netsh.exe advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=in name=Win2y2 program="%APPDATA%\framework.exe"
- <SYSTEM32>\notepad.exe
- <SYSTEM32>\netsh.exe advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=out name=Win2y2 program="%APPDATA%\framework.exe"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\5827676.14600291
- %TEMP%\sevane.tmp
- %APPDATA%\framework.exe
- %TEMP%\aut1.tmp
- %TEMP%\393757.447605931
- %HOMEPATH%\AutoIt3.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\AutoIt3.exe
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\5827676.14600291
- %TEMP%\aut1.tmp
- %TEMP%\393757.447605931
Сетевая активность:
Подключается к:
- 'localhost':1588
- 'xe#####337.sytes.net':1588
UDP:
- DNS ASK xe#####337.sytes.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
