Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'FrontLine Protection GUI Application' = '<SYSTEM32>\protect.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{DE2351DE-13DF-3741-053A-6EF8A370E94C}] 'StubPath' = '<SYSTEM32>\protect.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- iexplore.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'RegMonClass' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\protect.exe
- %TEMP%\0CB23DB6.TMP
Сетевая активность:
Подключается к:
- '21#.#26.192.12':3389
- '21#.#0.75.36':3389
- '95.#.44.110':3389
- '82.##7.178.7':3389
- '84.##.15.110':3389
- '83.##.172.135':3389
