Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Media Player Network Sharing Center' = '%WINDIR%\System64\wmpservice.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\System64\wmpnetvk.exe' = '%WINDIR%\System64\wmpnetvk.exe:*:En...
Запускает на исполнение:
- '%WINDIR%\System64\wmpnetvk.exe'
- '<SYSTEM32>\cmd.exe' /c start "" "%WINDIR%\System64\wmpnetvk.exe"
- '%WINDIR%\System64\wmpservice.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsn2.tmp\nsisFirewall.dll
- %TEMP%\nsn2.tmp\Processes.dll
- %TEMP%\nsn2.tmp\System.dll
- %APPDATA%\RMS_settings\Logs\rms_log_2016-07.html
- <SYSTEM32>\bridgeres.dll
- %WINDIR%\System64\wmpservice.exe
- %WINDIR%\System64\settings.dat
- %TEMP%\nsn2.tmp\FindProcDLL.dll
- %WINDIR%\System64\vp8decoder.dll
- %WINDIR%\System64\wmpnetvk.exe
- %WINDIR%\System64\vp8encoder.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\System64\wmpnetvk.exe
- %WINDIR%\System64\wmpservice.exe
- %WINDIR%\System64\vp8encoder.dll
- %WINDIR%\System64\settings.dat
- %WINDIR%\System64\vp8decoder.dll
Удаляет следующие файлы:
- %TEMP%\nsn2.tmp\Processes.dll
- %TEMP%\nsn2.tmp\System.dll
- %TEMP%\nsn2.tmp\FindProcDLL.dll
- %TEMP%\nsn2.tmp\nsisFirewall.dll
Сетевая активность:
Подключается к:
- 'rm#####ver.tektonit.ru':563
- 'rm#####ver.tektonit.ru':5655
- 'rm##sys.ru':80
TCP:
Запросы HTTP GET:
- http://rm##sys.ru/utils/inet_id_notify.php?te####
UDP:
- DNS ASK rm#####ver.tektonit.ru
- DNS ASK rm##sys.ru
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
