Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RManWLN] 'Startup' = 'WLEventStartup'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RManWLN] 'Logon' = 'WLEventLogon'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RManWLN] 'DllName' = 'RManWLN.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\RManService] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\rmanserver.exe /silentinstall
Запускает на исполнение:
- <SYSTEM32>\reg.exe delete "HKLM\SYSTEM\Remote Office Manager" /f
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\ROMS.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\msvcp80.dll
- <SYSTEM32>\msvcr80.dll
- <SYSTEM32>\msvcm80.dll
- %TEMP%\1.tmp\Autorun.reg
- <SYSTEM32>\hookdrv.dll
- <SYSTEM32>\Microsoft.VC80.CRT.manifest
- <SYSTEM32>\rmanserver.exe
- <SYSTEM32>\rmanwln.dll
- <SYSTEM32>\ip.exe
- <SYSTEM32>\pushsource.ax
- <SYSTEM32>\rmanfusclient.exe
- <SYSTEM32>\rmanipcserver.dll
- %TEMP%\1.tmp\Settings.reg
- %TEMP%\1.tmp\RManIpcServer.dll
- %TEMP%\1.tmp\RManServer.exe
- %TEMP%\1.tmp\RManWLN.dll
- %TEMP%\1.tmp\ROMS.bat
- %TEMP%\1.tmp\PushSource.ax
- %TEMP%\1.tmp\RManFUSClient.exe
- %TEMP%\1.tmp\msvcm80.dll
- %TEMP%\1.tmp\msvcp80.dll
- %TEMP%\1.tmp\msvcr80.dll
- %TEMP%\1.tmp\HookDrv.dll
- %TEMP%\1.tmp\ip.exe
- %TEMP%\1.tmp\Microsoft.VC80.CRT.manifest
