Trojan.MulDrop9.31136

Техническая информация

Изменения в файловой системе

Создает следующие файлы

%TEMP%\nso2.tmp\simplesc.dll
%ProgramFiles%\ossec-agent\shared\win_malware_rcl.txt
%ProgramFiles%\ossec-agent\shared\win_audit_rcl.txt
%ProgramFiles%\ossec-agent\help.txt
%ProgramFiles%\ossec-agent\vista_sec.txt
%ProgramFiles%\ossec-agent\active-response\bin\route-null.cmd
%ProgramFiles%\ossec-agent\active-response\bin\restart-ossec.cmd
%ProgramFiles%\ossec-agent\client.keys
%ProgramFiles%\ossec-agent\uninstall.exe
%TEMP%\nso2.tmp\system.dll
%ProgramFiles%\ossec-agent\version.txt
%ALLUSERSPROFILE%\start menu\programs\ossec\manage agent.lnk
%ALLUSERSPROFILE%\start menu\programs\ossec\documentation.lnk
%ALLUSERSPROFILE%\start menu\programs\ossec\edit config.lnk
%ALLUSERSPROFILE%\start menu\programs\ossec\uninstall.lnk
%TEMP%\nso2.tmp\nsexec.dll
%TEMP%\nso2.tmp\ns3.tmp
%TEMP%\nso2.tmp\ns4.tmp
%ProgramFiles%\ossec-agent\ossec.log
%TEMP%\nso2.tmp\ns5.tmp
%ProgramFiles%\ossec-agent\shared\win_applications_rcl.txt
%ProgramFiles%\ossec-agent\.tmp.ossec.conf
%ProgramFiles%\ossec-agent\rootcheck.conf
%ProgramFiles%\ossec-agent\add-localfile.exe
%ProgramFiles%\ossec-agent\ossec.conf
%ProgramFiles%\ossec-agent\ossec-lua.exe
%ProgramFiles%\ossec-agent\ossec-luac.exe
%ProgramFiles%\ossec-agent\ossec-agent.exe
%ProgramFiles%\ossec-agent\default-ossec.conf
%ProgramFiles%\ossec-agent\manage_agents.exe
%ProgramFiles%\ossec-agent\win32ui.exe
%ProgramFiles%\ossec-agent\shared\ar.conf
%ProgramFiles%\ossec-agent\ossec-rootcheck.exe
%ProgramFiles%\ossec-agent\internal_options.conf
%ProgramFiles%\ossec-agent\local_internal_options.conf
%ProgramFiles%\ossec-agent\setup-windows.exe
%ProgramFiles%\ossec-agent\setup-syscheck.exe
%ProgramFiles%\ossec-agent\setup-iis.exe
%ProgramFiles%\ossec-agent\service-start.exe
%ProgramFiles%\ossec-agent\service-stop.exe
%ProgramFiles%\ossec-agent\doc.html
%ProgramFiles%\ossec-agent\shared\rootkit_trojans.txt
%ProgramFiles%\ossec-agent\shared\rootkit_files.txt
%ProgramFiles%\ossec-agent\license.txt
%TEMP%\nso2.tmp\ns6.tmp

Удаляет следующие файлы

%TEMP%\nso2.tmp\ns3.tmp
%TEMP%\nso2.tmp\ns4.tmp
%TEMP%\nso2.tmp\ns5.tmp
%TEMP%\nso2.tmp\ns6.tmp

Перемещает следующие файлы

%ProgramFiles%\ossec-agent\ossec.conf в %ProgramFiles%\ossec-agent\ossec.conf.bak

Подменяет следующие файлы

%ProgramFiles%\ossec-agent\ossec.conf

Другое

Ищет следующие окна

ClassName: '#32770' WindowName: ''
ClassName: 'SysListView32' WindowName: ''

Создает и запускает на исполнение

'%TEMP%\nso2.tmp\ns3.tmp' "%ProgramFiles%\ossec-agent\ossec-agent.exe" install-service
'%TEMP%\nso2.tmp\ns4.tmp' "%ProgramFiles%\ossec-agent\setup-windows.exe" "%ProgramFiles%\ossec-agent"
'%ProgramFiles%\ossec-agent\setup-windows.exe' "%ProgramFiles%\ossec-agent"
'%TEMP%\nso2.tmp\ns5.tmp' "%ProgramFiles%\ossec-agent\setup-syscheck.exe" "%ProgramFiles%\ossec-agent" "enable"
'%ProgramFiles%\ossec-agent\setup-syscheck.exe' "%ProgramFiles%\ossec-agent" "enable"
'%TEMP%\nso2.tmp\ns6.tmp' "%ProgramFiles%\ossec-agent\setup-iis.exe" "%ProgramFiles%\ossec-agent"
'%ProgramFiles%\ossec-agent\setup-iis.exe' "%ProgramFiles%\ossec-agent"
'%TEMP%\nso2.tmp\ns3.tmp' "%ProgramFiles%\ossec-agent\ossec-agent.exe" install-service' (со скрытым окном)
'%TEMP%\nso2.tmp\ns4.tmp' "%ProgramFiles%\ossec-agent\setup-windows.exe" "%ProgramFiles%\ossec-agent"' (со скрытым окном)
'%TEMP%\nso2.tmp\ns5.tmp' "%ProgramFiles%\ossec-agent\setup-syscheck.exe" "%ProgramFiles%\ossec-agent" "enable"' (со скрытым окном)
'%TEMP%\nso2.tmp\ns6.tmp' "%ProgramFiles%\ossec-agent\setup-iis.exe" "%ProgramFiles%\ossec-agent"' (со скрытым окном)