Техническая информация
Для обеспечения автозапуска и распространения
Создает следующие сервисы
- [<HKLM>\System\CurrentControlSet\Services\RServer3] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\RServer3] 'ImagePath' = '"<SYSTEM32>\rserver30\RServer3.exe" /service'
- [<HKLM>\System\CurrentControlSet\Services\mirrorv3] 'Start' = '00000001'
- [<HKLM>\System\CurrentControlSet\Services\mirrorv3] 'ImagePath' = 'system32\DRIVERS\rminiv3.sys'
- [<HKLM>\System\CurrentControlSet\Services\raddrvv3] 'Start' = '00000001'
- [<HKLM>\System\CurrentControlSet\Services\raddrvv3] 'ImagePath' = '<SYSTEM32>\rserver30\raddrvv3.sys'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\rserver30\rserver3.exe' = '<SYSTEM32>\rserver30\rserver...
Внедряет код в
следующие пользовательские процессы:
- famitrfc.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\install.bat
- <SYSTEM32>\rserver30\rsetup.exe
- <SYSTEM32>\rserver30\rminiv3.sys
- <SYSTEM32>\rserver30\mirrorv3.dll
- <SYSTEM32>\rserver30\mirrorv3.inf
- <SYSTEM32>\rserver30\mirrorv3.cat
- <SYSTEM32>\rserver30\raddrvv3.sys
- <SYSTEM32>\rserver30\eula.txt
- <SYSTEM32>\rserver30\radmin30.chm
- <SYSTEM32>\rserver30\1049.lng_rad
- %APPDATA%\microsoft\installer\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\newshortcut4_6bf1780b36ea432b9451dd84ff5c9d52.exe
- <SYSTEM32>\rserver30\wsock32.dll
- <SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem0.cat
- %WINDIR%\inf\oem0.inf
- %WINDIR%\inf\oem0.pnf
- <DRIVERS>\setd.tmp
- <SYSTEM32>\sete.tmp
- %APPDATA%\microsoft\installer\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\arpproducticon.exe
- %APPDATA%\microsoft\installer\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\z_menu_srvcfg_6bf1780b36ea432b9451dd84ff5c9d52.exe
- <SYSTEM32>\rserver30\vcintsx.dll
- <SYSTEM32>\rserver30\radmin30ru.chm
- <SYSTEM32>\rserver30\vcintcx.dll
- <SYSTEM32>\rserver30\firewallinstallhelper.dll
- %TEMP%\msupdate.msi
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\rsetup.exe
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\rsetup64.exe
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\firewallinstallhelper.dll
- <SYSTEM32>\rserver30\winlpcdl.dll
- <SYSTEM32>\rserver30\winlpcdl2.dll
- <SYSTEM32>\rserver30\famitrfc.exe
- <SYSTEM32>\rserver30\famitrf2.exe
- <SYSTEM32>\rserver30\rserver3.exe
- <SYSTEM32>\rserver30\voicex.dll
- <SYSTEM32>\rserver30\r_sui.dll
- <SYSTEM32>\rserver30\rcursor.dll
- <SYSTEM32>\rserver30\rsl.exe
- <SYSTEM32>\rserver30\rchatx.dll
- <SYSTEM32>\rserver30\chatlogs\info.txt
- <SYSTEM32>\rserver30\rschatx.dll
- <SYSTEM32>\rserver30\chatlpcx.dll
- <SYSTEM32>\rserver30\raudiox.dll
- <SYSTEM32>\rserver30\rsaudiox.dll
- %APPDATA%\microsoft\installer\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\newshortcut3_6bf1780b36ea432b9451dd84ff5c9d52.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\catroot\{f750e6c3-38ee-11d1-85e5-00c04fc295ee}\oem0.cat
Удаляет следующие файлы
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\firewallinstallhelper.dll
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\rsetup.exe
- %TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\rsetup64.exe
Перемещает следующие файлы
- <DRIVERS>\setd.tmp в <DRIVERS>\rminiv3.sys
- <SYSTEM32>\sete.tmp в <SYSTEM32>\mirrorv3.dll
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\{3a8c4c87-d460-488a-a0aa-8993f6d355b1}\rsetup.exe' /stop
- '<SYSTEM32>\rserver30\rsetup.exe' /intsetup
- '<SYSTEM32>\rserver30\rsetup.exe' /start
- '<SYSTEM32>\rserver30\rserver3.exe' /service
- '<SYSTEM32>\rserver30\famitrfc.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\install.bat" "
- '<SYSTEM32>\msiexec.exe' /i "msupdate.msi" /quiet /norestart
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\rserver30\wsock32.dll,ntskd noreboot
