Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'KiSs' = '%WINDIR%\%USERNAME%\%USERNAME%.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\GoodBye.%USERNAME%.bat
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Redhouane.eXe
- <Имя диска съемного носителя>:\SoMoZATY.exe
- <Имя диска съемного носителя>:\AutoRun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
- %WINDIR%\%USERNAME%\%USERNAME%.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 3 -l 6555 www.xn##.com
- <SYSTEM32>\ping.exe -n 3 -l 6555 www.xn###ovies.com
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'DisableLocalMachineRun' = '00000000'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'NoRun' = '00000001'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\%USERNAME%.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
- C:\SoMoZATY.exe
- C:\AutoRun.inf
- <SYSTEM32>\Meriem.bin
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
- %WINDIR%\%USERNAME%\%USERNAME%.exe
- C:\Redhouane.eXe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Killer.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Csrss.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\BosS.Redhouane.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Services.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\Winlogon.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\%USERNAME%.exe
- %APPDATA%\Microsoft\Windows\%USERNAME%\Data\Security Settings\Antivirus\Scan\History\smss.exe
- C:\SoMoZATY.exe
- C:\AutoRun.inf
- <SYSTEM32>\Meriem.bin
- <Имя диска съемного носителя>:\AutoRun.inf
- %HOMEPATH%\Start Menu\Programs\Startup\GoodBye.%USERNAME%.bat
- %WINDIR%\%USERNAME%\%USERNAME%.exe
- <Имя диска съемного носителя>:\SoMoZATY.exe
Удаляет следующие файлы:
- <SYSTEM32>\msvbvm50.dll
- <SYSTEM32>\msvbvm60.dll
Сетевая активность:
UDP:
- DNS ASK www.xn##.com
- DNS ASK www.cd##rls.com
- DNS ASK www.Pl#####angmywife.com
- DNS ASK www.ba###ros.com
- DNS ASK www.df#.com
- DNS ASK www.89.com
- DNS ASK www.po##.com
- DNS ASK www.xn###ovies.com
