Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Service' = ''
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%APPDATA%\Primecoin\svc.exe' = '%APPDATA%\Primecoin\svc.exe:*:Enabled:Service'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name = "Service" dir = in action = allow description = "Service SSL messages" program = "%APPDATA%\Primecoin\svc.exe"
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\primecoin\svc.exe" Service ENABLE
- '<SYSTEM32>\wscript.exe' "%APPDATA%\Primecoin\sbs.vbs"
- '<SYSTEM32>\reg.exe' import s.reg
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\run1.bat" "
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 3
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 2
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\sbs.vbs
- <Текущая директория>\svc.exe
- <Текущая директория>\s.reg
- %TEMP%\1.tmp\run1.bat
- <Текущая директория>\lsass.exe
Перемещает следующие файлы:
- <Текущая директория>\lsass.exe в %APPDATA%\Primecoin\lsass.exe
- <Текущая директория>\sbs.vbs в %APPDATA%\Primecoin\sbs.vbs
- <Текущая директория>\svc.exe в %APPDATA%\Primecoin\svc.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
