Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'unlock' = '"%WINDIR%\notepad.exe" c:\ReadMe.TxT'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\bfsvcm.exe,'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\find.exe' /I ":csrss.exe:"
- '<SYSTEM32>\cmd.exe' /S /D /c" Echo :"
- '<SYSTEM32>\find.exe' /I ":winlogon.exe:"
- '<SYSTEM32>\cmd.exe' /S /D /c" Echo :csrss.exe:"
- '<SYSTEM32>\tasklist.exe' /FO CSV
- '<SYSTEM32>\cmd.exe' /c tasklist /FI "WINDOWTITLE eq 28029227" /FO CSV
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\W.bat" "
- '<SYSTEM32>\cmd.exe' /c tasklist /FO CSV
- '<SYSTEM32>\tasklist.exe' /FI "WINDOWTITLE eq 28029227" /FO CSV
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\W.bat
- %WINDIR%\bfsvcm.exe
Сетевая активность:
Подключается к:
- '62.##2.159.211':3388
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
