Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\sgcscvy\coiome.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete IE_WinserverName
- '<SYSTEM32>\sc.exe' stop IE_WinserverName
- '<SYSTEM32>\sc.exe' delete LYTC
- '<SYSTEM32>\sc.exe' stop HidServ
- '<SYSTEM32>\cacls.exe' "%CommonProgramFiles%\Microsoft Shared\MSInfo" /e /p everyone:n
- '<SYSTEM32>\cacls.exe' "%ALLUSERSPROFILE%\Application Data\Storm\update" /e /p everyone:n
- '<SYSTEM32>\sc.exe' delete HidServ
- '<SYSTEM32>\sc.exe' delete Messenger
- '<SYSTEM32>\sc.exe' delete JavaServe
- '<SYSTEM32>\taskkill.exe' /im coiome.exe /f
- '<SYSTEM32>\mshta.exe' "%PROGRAM_FILES%\ZMR.hta"
- '<SYSTEM32>\taskkill.exe' /im iejore.exe /f
- '<SYSTEM32>\sc.exe' stop Messenger
- '<SYSTEM32>\sc.exe' stop LYTC
- '<SYSTEM32>\taskkill.exe' /im conime.exe /f
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\sgcscvy\coiome.exe
- %PROGRAM_FILES%\ZMR.hta
Удаляет следующие файлы:
- %PROGRAM_FILES%\ZMR.hta
Самоудаляется.
Сетевая активность:
Подключается к:
- 'c5#.##uisumuli.com':53
UDP:
- DNS ASK c5#.##uisumuli.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
