Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'systemkernel' = '%LOCALAPPDATA%\kernelsystmgr.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://me##le.com/sp/ki.exe как %appdata%\putty.exe
Внедряет код в
следующие пользовательские процессы:
- kernelsystmgr.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abctfhghghghghВЈ.sct
- %PROGRAMDATA%\hrjytrj.cmd
- %APPDATA%\putty.exe
- %LOCALAPPDATA%\kernelsystmgr.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://me##le.com/sp/ki.exe
UDP
- DNS ASK me##le.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\putty.exe'
- '%LOCALAPPDATA%\kernelsystmgr.exe'
- '%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\putty.exe" "%LOCALAPPDATA%\kernelsystmgr.exe"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c, "%LOCALAPPDATA%\kernelsystmgr.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c copy "%APPDATA%\putty.exe" "%LOCALAPPDATA%\kernelsystmgr.exe"
- '%WINDIR%\syswow64\cmd.exe' /c, "%LOCALAPPDATA%\kernelsystmgr.exe"
