Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'syman' = '%APPDATA%\Sysman\sysman.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '"%APPDATA%\z2V60VmP624Kf6dq\KsWyE45bw5ba.exe",explorer.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Fud1Xn6jLNsMPwV7.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Imminent\Logs\20-11-2017
- %APPDATA%\Sysman\sysman.exe
- %APPDATA%\Imminent\Monitoring\system.dat
- %APPDATA%\Imminent\Monitoring\network.dat
- %TEMP%\nse2.tmp
- %APPDATA%\z2V60VmP624Kf6dq\KsWyE45bw5ba.exe
- <Текущая директория>:{34004C00-3200-4C00-6100-72007A003400}
- %TEMP%\912uzxZqySngWVG1
- %TEMP%\Fud1Xn6jLNsMPwV7.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к файлу>
- %APPDATA%\z2V60VmP624Kf6dq\KsWyE45bw5ba.exe
Сетевая активность:
Подключается к:
- 're####.sytes.net':42021
- 'www.yo######ownloadersite.com':80
TCP:
Запросы HTTP GET:
- http://www.yo######ownloadersite.com/getcountry.html
- http://www.yo######ownloadersite.com/images/pixel.gif?ac########################################################################################################################
UDP:
- DNS ASK re####.sytes.net
- DNS ASK www.yo######ownloadersite.com
