Техническая информация
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Imminent\Logs\18-12-2017
- %APPDATA%\Imminent\Monitoring\system.dat
- %APPDATA%\Imminent\Monitoring\network.dat
- %TEMP%\nss2.tmp
- %APPDATA%\1337\Registry Cleaner.exe
- %APPDATA%\1337\rc-setup.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\registry cleaner\registry cleaner.exe
Удаляет следующие файлы:
- %APPDATA%\1337\Registry Cleaner.exe
- %TEMP%\nss3.tmp\System.dll
Сетевая активность:
Подключается к:
- '13#.#19.181.14':9005
Другое:
Ищет следующие окна:
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение:
- '%TEMP%\is-OQBRR.tmp\rc-setup.tmp' /SL5="$40092,7925124,159232,%APPDATA%\1337\rc-setup.exe"
- '%TEMP%\registry cleaner\registry cleaner.exe'
- '%APPDATA%\1337\Registry Cleaner.exe'
- '%APPDATA%\1337\rc-setup.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 1000
- '<SYSTEM32>\cmd.exe' /C ping 1.1.1.1 -n 1 -w 1000 > Nul & Del "%APPDATA%\1337\Registry Cleaner.exe"
