Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%APPDATA%\Win\svchost.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%APPDATA%\Win\svchost.exe,'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Realtek.exe
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\wow\winadmin-setup.exe
- \Device\LanmanRedirector\CRNJEUFU\WindowsNetFramework\winadmin-setup.exe
- %APPDATA%\Win\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Win\svchost.exe
Сетевая активность:
Подключается к:
- '77.##.225.164':80
- 'wp#d':80
- 'localhost':445
TCP:
Запросы HTTP GET:
- 77.##.225.164/s8q32jhlaiska41x87w333a14a6a9a7s52s3f45x/gate.php?os#############
- wp#d/wpad.dat
UDP:
- DNS ASK wp#d
- DNS ASK up####.microsoft.com
- '<IP-адрес в локальной сети>':1035
