Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'BD' = '\notepadd.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KL' = '\keylog.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'C:\notepadd.exe' = 'C:\notepadd.exe:*:Enabled:RemoteSupport'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram \notepadd.exe RemoteSupport ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- C:\keylog.exe
- C:\psexec.exe
- C:\notepadd.exe
- C:\instruct.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\notepadd.exe
Удаляет следующие файлы:
- <Полный путь к файлу>
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'in####mmnetwork.org':80
TCP:
Запросы HTTP GET:
- http://www.in####mmnetwork.org/keylog.exe via in####mmnetwork.org
- http://www.in####mmnetwork.org/psexec.exe via in####mmnetwork.org
- http://www.in####mmnetwork.org/instruct.txt via in####mmnetwork.org
UDP:
- DNS ASK www.in####mmnetwork.org
Другое:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c del <Полный путь к файлу>
