Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '7a4c1aa1519c6bee178f8fbf3ccffa01' = '"%TEMP%\Console Window Host.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '7a4c1aa1519c6bee178f8fbf3ccffa01' = '"%TEMP%\Console Window Host.exe" ..'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\7a4c1aa1519c6bee178f8fbf3ccffa01.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\Console Window Host.exe' = '%TEMP%\Console Window Host.exe:*:En...
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\Console Window Host.exe" "Console Window Host.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\is-JDEP5.tmp\Templ.tmp
- %TEMP%\Console Window Host.exe
- %HOMEPATH%\Local Settings\Temps.exe
- %HOMEPATH%\Local Settings\Templ.exe
- %HOMEPATH%\Local Settings\Tempr.exe
Сетевая активность:
Подключается к:
- 'xd.##pto.org':27730
- 'xd.##pto.org':27468
UDP:
- DNS ASK xd.##pto.org
Другое:
Создает и запускает на исполнение:
- '%TEMP%\is-JDEP5.tmp\Templ.tmp' /SL5="$200E2,4046183,120320,%HOMEPATH%\Local Settings\Templ.exe"
- '%TEMP%\Console Window Host.exe'
- '%HOMEPATH%\Local Settings\Temps.exe'
- '%HOMEPATH%\Local Settings\Templ.exe'
- '%HOMEPATH%\Local Settings\Tempr.exe'
