Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ServicetyfdYEw] 'ImagePath' = '%WINDIR%\Fonts\Faker.exe'
- [<HKLM>\SYSTEM\ControlSet001\Services\ServicetyfdYEw] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Fonts\Faker.exe'
- '%WINDIR%\Fonts\Soul.exe' -o wwe.xuwupiaomiao.info:8443 -u 43qW9bSPv25GR3A17gxWQ4WQxTFknh8KFELCWACbmY8FM7ka9zhmUhHXgcsR9wuv6fjei7sD7LFjnEdkvmx5NAoAD7XtUcv -k -o wwe.xuwupiaomiao.info:6666 -u 43qW9bSPv25GR3A17gxWQ4WQxTFk...
- '%WINDIR%\Fonts\Faker.exe' install ServicetyfdYEw Soul.exe -o wwe.xuwupiaomiao.info:8443 -u 43qW9bSPv25GR3A17gxWQ4WQxTFknh8KFELCWACbmY8FM7ka9zhmUhHXgcsR9wuv6fjei7sD7LFjnEdkvmx5NAoAD7XtUcv -k -o wwe.xuwupiaomiao.info:6666...
- '%WINDIR%\Fonts\Faker.exe' start ServicetyfdYEw
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s %WINDIR%\Fonts\restart.reg
- '<SYSTEM32>\attrib.exe' +s +h +r %WINDIR%\Fonts\Soul.exe
- '%WINDIR%\regedit.exe' /s %WINDIR%\Fonts\server.reg
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\Fonts\33.bat
- '<SYSTEM32>\sc.exe' delete ServicetyfdYEw
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Fonts\server.reg
- %WINDIR%\Fonts\Faker.exe
- %WINDIR%\Fonts\restart.reg
- %WINDIR%\Fonts\Soul.exe
- %WINDIR%\Fonts\33.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Fonts\Soul.exe
Удаляет следующие файлы:
- %WINDIR%\Fonts\restart.reg
- %WINDIR%\Fonts\server.reg
Сетевая активность:
Подключается к:
- 'ww#.###upiaomiao.info':9999
- 'ww#.###upiaomiao.info':443
- 'ww#.###upiaomiao.info':11000
- 'ww#.###upiaomiao.info':8443
- 'ww#.###upiaomiao.info':6666
UDP:
- DNS ASK ww#.###upiaomiao.info
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
