Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\ACEScheduler.job
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Create /RU "" /RP /SC MINUTE /MO 5 /TN "ACEScheduler" /TR "\"C:\ACE\ACEScheduler\ACEScheduler.exe\""
- '<SYSTEM32>\schtasks.exe' /Create /RU "Network" /RP /SC MINUTE /MO 5 /TN "ACERBScheduler" /TR "\"C:\ACE\ACERBScheduler\ACERBScheduler.exe\""
- '<SYSTEM32>\schtasks.exe' /Query /FO CSV
- '%TEMP%\_ir_sf_temp_0\irsetup.exe' __IRAOFF:1793794 "__IRAFN:<Полный путь к файлу>" "__IRCT:0" "__IRTSS:0" "__IRSID:S-1-5-21-2052111302-484763869-725345543-1003"
- '<SYSTEM32>\cmd.exe' /C <SYSTEM32>\schtasks.exe /Query /FO CSV > %TEMP%\tasks.txt
Изменения в файловой системе:
Создает следующие файлы:
- C:\ACE\ACEService\lib\policy\jetty-jmx.policy
- C:\ACE\ACEService\lib\policy\global.policy
- C:\ACE\ACEService\lib\policy\jetty-work.policy
- C:\ACE\ACEService\lib\policy\jetty-start.policy
- C:\ACE\ACEService\etc\webdefault.xml
- C:\ACE\ACEService\etc\spnego.properties
- C:\ACE\ACEService\lib\annotations\org.objectweb.asm-3.1.0.v200803061910.jar
- C:\ACE\ACEService\lib\annotations\javax.annotation-1.1.0.v201108011116.jar
- C:\ACE\ACEService\lib\policy\jetty.policy
- C:\ACE\ACEService\lib\jetty-http-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-deploy-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-overlay-deployer-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-io-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-annotations-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\policy\temp-dirs.policy
- C:\ACE\ACEService\lib\jetty-continuation-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-client-8.1.17.v20150415.jar
- C:\ACE\ACEService\etc\jetty-started.xml
- C:\ACE\ACEService\etc\jetty-ssl.xml
- C:\ACE\ACEService\etc\jetty-testrealm.xml
- C:\ACE\ACEService\etc\jetty-stats.xml
- C:\ACE\ACEService\etc\jetty-rewrite.xml
- C:\ACE\ACEService\etc\jetty-requestlog.xml
- C:\ACE\ACEService\etc\jetty-spdy.xml
- C:\ACE\ACEService\etc\jetty-spdy-proxy.xml
- C:\ACE\ACEService\etc\jetty-webapps.xml
- C:\ACE\ACEService\etc\README.spnego
- C:\ACE\ACEService\etc\krb5.ini
- C:\ACE\ACEService\etc\spnego.conf
- C:\ACE\ACEService\etc\realm.properties
- C:\ACE\ACEService\etc\jetty.conf
- C:\ACE\ACEService\etc\jetty-xinetd.xml
- C:\ACE\ACEService\etc\keystore
- C:\ACE\ACEService\etc\jetty.xml
- C:\ACE\ACEService\prunsrv.exe
- C:\ACE\ACEService\prunmgr.exe
- C:\ACE\ACEService\ServiceCheck.bat
- C:\ACE\ACEService\README.txt
- C:\ACE\ACEService\LICENSE-APACHE-2.0.txt
- C:\ACE\ACEService\InstallService.bat
- C:\ACE\ACEService\notice.html
- C:\ACE\ACEService\LICENSE-ECLIPSE-1.0.html
- C:\ACE\ACEService\ServiceStop.bat
- C:\ACE\Scheduler\Uninstall\IRIMG1.JPG
- C:\ACE\ACEService\bin\jetty-cygwin.sh
- C:\ACE\Scheduler\Uninstall\IRIMG3.JPG
- C:\ACE\Scheduler\Uninstall\IRIMG2.JPG
- C:\ACE\ACEService\start.ini
- C:\ACE\ACEService\start.exe
- C:\ACE\ACEService\VERSION.txt
- C:\ACE\ACEService\start.jar
- C:\ACE\ACEService\lib\jetty-servlet-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-server-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-util-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-servlets-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-policy-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-plus-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-security-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-rewrite-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-webapp-8.1.17.v20150415.jar
- C:\ACE\ACEService\webapps\ACEThinClient.war
- C:\ACE\ACEService\webapps\home\index.html
- C:\ACE\ACEService\ACEServiceMonitor.bat
- C:\ACE\ACEService\about.html
- C:\ACE\ACEService\lib\jetty-xml-8.1.17.v20150415.jar
- C:\ACE\ACEService\lib\jetty-websocket-8.1.17.v20150415.jar
- C:\ACE\ACEService\resources\log4j.properties
- C:\ACE\ACEService\lib\servlet-api-3.0.jar
- C:\ACE\ACEService\etc\jetty-proxy.xml
- C:\ACE\ACEScheduler\META-INF\AIR\hash
- C:\ACE\ACEScheduler\META-INF\AIR\application.xml
- C:\ACE\ACEScheduler\ACEScheduler-app.xml
- C:\ACE\ACEScheduler\META-INF\signatures.xml
- C:\ACE\ACERBScheduler\ACERBScheduler.swf
- C:\ACE\ACERBScheduler\ACERBScheduler.exe
- C:\ACE\ACERBScheduler\serverconfig.xml
- C:\ACE\ACERBScheduler\logosuite.png
- C:\ACE\ACEScheduler\ACEScheduler.exe
- C:\ACE\PericomRBBatch\lib\opencsv-3.6.jar
- C:\ACE\PericomRBBatch\lib\log4j-1.2.5.jar
- C:\ACE\PericomRBBatch\log\rates.log
- C:\ACE\PericomRBBatch\lib\RXTXcomm.jar
- C:\ACE\ACEScheduler\logosuite.png
- C:\ACE\ACEScheduler\ACEScheduler.swf
- C:\ACE\PericomRBBatch\lib\commons-lang3-3.0.jar
- C:\ACE\ACEScheduler\serverconfig.xml
- %TEMP%\_ir_sf_temp_0\IRIMG3.JPG
- %TEMP%\_ir_sf_temp_0\IRIMG2.JPG
- %TEMP%\_ir_sf_temp_0\logosuite.ico
- %TEMP%\_ir_sf_temp_0\setup.ico
- %TEMP%\_ir_sf_temp_0\lua5.1.dll
- %TEMP%\_ir_sf_temp_0\irsetup.exe
- %TEMP%\_ir_sf_temp_0\IRIMG1.JPG
- %TEMP%\_ir_sf_temp_0\irsetup.dat
- C:\ACE\Scheduler\Uninstall\uni1.tmp
- C:\ACE\ACERBScheduler\META-INF\AIR\hash
- C:\ACE\ACERBScheduler\META-INF\AIR\application.xml
- C:\ACE\ACERBScheduler\ACERBScheduler-app.xml
- C:\ACE\ACERBScheduler\META-INF\signatures.xml
- C:\ACE\Scheduler\uninstall.exe
- C:\ACE\Scheduler\Uninstall\uninstall.dat
- C:\ACE\Scheduler\Uninstall\uninstall.xml
- C:\ACE\Scheduler\lua5.1.dll
- C:\ACE\ACEService\etc\jetty-bio.xml
- C:\ACE\ACEService\etc\jetty-bio-ssl.xml
- C:\ACE\ACEService\etc\jetty-debug.xml
- C:\ACE\ACEService\etc\jetty-contexts.xml
- C:\ACE\ACEService\etc\jdbcRealm.properties
- C:\ACE\ACEService\contexts-available\resources.xml
- C:\ACE\ACEService\etc\jetty-annotations.xml
- C:\ACE\ACEService\etc\jetty-ajp.xml
- C:\ACE\ACEService\etc\jetty-deploy.xml
- C:\ACE\ACEService\etc\jetty-overlay.xml
- C:\ACE\ACEService\etc\jetty-monitor.xml
- C:\ACE\ACEService\etc\jetty-policy.xml
- C:\ACE\ACEService\etc\jetty-plus.xml
- C:\ACE\ACEService\etc\jetty-ipaccess.xml
- C:\ACE\ACEService\etc\jetty-fileserver.xml
- C:\ACE\ACEService\etc\jetty-logging.xml
- C:\ACE\ACEService\etc\jetty-jmx.xml
- C:\ACE\PericomRBBatch\pericomrbs.bat
- C:\ACE\PericomRBBatch\log4j.properties
- C:\ACE\ACEProcess\ACEBackupDB.exe
- C:\ACE\PericomRBBatch\rxtxSerial.dll
- C:\ACE\PericomRBBatch\org\xchg\ace\pericom\RateBoardDTO.class
- C:\ACE\PericomRBBatch\org\xchg\ace\pericom\ACEPericomRBService.class
- C:\ACE\PericomRBBatch\org\xchg\ace\utils\ACEUtils.class
- C:\ACE\PericomRBBatch\org\xchg\ace\props\countrycodes.properties
- C:\ACE\ACEService\bin\jetty-xinetd.sh
- C:\ACE\ACEService\contexts\test.xml
- C:\ACE\ACEService\contexts\README.TXT
- C:\ACE\ACEService\contexts-available\README.TXT
- C:\ACE\ACEService\contexts-available\move-context.xml
- C:\ACE\ACEService\bin\README.jetty-cygwin.txt.txt
- C:\ACE\ACEService\bin\jetty.sh
- C:\ACE\ACEService\contexts\javadoc.xml
- C:\ACE\ACEService\contexts\test.d\override-web.xml
Удаляет следующие файлы:
- %TEMP%\tasks.txt
- C:\ACE\Scheduler\Uninstall\uni1.tmp
- %TEMP%\_ir_sf_temp_0\irsetup.dat
Подменяет следующие файлы:
- %TEMP%\tasks.txt
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
