Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '932b1995bf46987d23905e86bfe2bf05' = '"%TEMP%\Windows.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '932b1995bf46987d23905e86bfe2bf05' = '"%TEMP%\Windows.exe" ..'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\932b1995bf46987d23905e86bfe2bf05.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\Windows.exe' = '%TEMP%\Windows.exe:*:Enabled:Windows.exe'
Запускает на исполнение:
- '%TEMP%\Windows.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\Windows.exe" "Windows.exe" ENABLE
- '%TEMP%\is-DBQQS.tmp\Application DatagBljVbAPug..tmp' /SL5="$300DE,11195797,56832,<LS_APPDATA>gBljVbAPug..exe"
- '<LS_APPDATA>EcMgNxLith.exe'
- '<LS_APPDATA>gBljVbAPug..exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-VLHNN.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-VLHNN.tmp\Fusion.dll
- %TEMP%\is-DBQQS.tmp\Application DatagBljVbAPug..tmp
- <LS_APPDATA>EcMgNxLith.exe
- <LS_APPDATA>gBljVbAPug..exe
Сетевая активность:
Подключается к:
- '3a####sa.ddns.net':1177
UDP:
- DNS ASK 3a####sa.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
