Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'System Binary Files' = 'cmd /c "start "System Binary Files" "%ProgramFiles%\Syscrit\sysbin.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v "System Binary Files" /d "cmd /c """start """System Binary Files""" """%ProgramFiles%\Syscrit\sysbin.exe"""" /f"
- '<SYSTEM32>\schtasks.exe' /create /tn "System Binary Files" /tr "'%ProgramFiles%\Syscrit\sysbin.exe' /startup" /sc MINUTE /f /rl highest
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\schtasks.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\System-a\Screenshots\04-16-2017\2.12 AM
Самоперемещается:
- из <Полный путь к файлу> в %ProgramFiles%\Syscrit\sysbin.exe
Сетевая активность:
Подключается к:
- '10#.#1.174.127':42042
