Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Ndisprot] 'ImagePath' = 'system32\DRIVERS\winsys.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\WinINI] 'ImagePath' = '<SYSTEM32>\winini.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\WinINI] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net.exe' start w32time
- '<SYSTEM32>\net1.exe' stop w32time
- '<SYSTEM32>\net1.exe' start w32time
- 'C:\winsys.exe'
- '<SYSTEM32>\w32tm.exe' /resync
- '<SYSTEM32>\net.exe' stop w32time
- '<SYSTEM32>\cmd.exe' /c c:\time.bat
- '<SYSTEM32>\winini.exe'
- '<SYSTEM32>\net.exe' time /setsntp:time.tesekl.info
- '<SYSTEM32>\sc.exe' config w32time start= demand
- '<SYSTEM32>\net1.exe' time /setsntp:time.tesekl.info
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\inf\oem3.PNF
- %WINDIR%\inf\oem3.inf
- <DRIVERS>\SET3.tmp
- %WINDIR%\inf\INFCACHE.0
- C:\winsys.sys
- C:\time.bat
- <SYSTEM32>\winini.exe
- C:\winsys.inf
- C:\winsys.exe
Перемещает следующие системные файлы:
- %WINDIR%\inf\INFCACHE.2 в %WINDIR%\inf\OLDCACHE.000
- %WINDIR%\inf\INFCACHE.1 в %WINDIR%\inf\INFCACHE.2
Перемещает следующие файлы:
- <DRIVERS>\SET3.tmp в <DRIVERS>\winsys.sys
Сетевая активность:
UDP:
- DNS ASK ti##.#esekl.info
- '<IP-адрес в локальной сети>':123
- 'ti##.#esekl.info':123
