Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Time Manager' = '%PROGRAMDATA%\TimeManager.exe'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\timemanager.exe
- %PROGRAMDATA%\time manager\auto_miner64
Присваивает атрибут 'скрытый' для следующих файлов
- %PROGRAMDATA%\timemanager.exe
- %PROGRAMDATA%\time manager\auto_miner64
Самоудаляется.
Сетевая активность
TCP
- 'lk###fdsa2.ru':25998
- 'lk###fdsa2.ru':31258
- 'as###hjkl0.com':53021
UDP
- DNS ASK google-public-dns-b.google.com
- DNS ASK lk###fdsa2.ru
- DNS ASK as###hjkl0.com
Другое
Запускает на исполнение
- '<SYSTEM32>\svchost.exe'
