Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Classes\harma\Shell\Open\Command] '' = '<Текущая директория>\INFO.exe "%1"'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\awt.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\runtime broker.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
удаляет теневые копии разделов.
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\info.exe
- <Текущая директория>\icon.ico
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://ic###azip.com/
- http://re#######ata.merehosting.com/db
- http://re#######ata.merehosting.com/db/
UDP
- DNS ASK ic###azip.com
- DNS ASK re#######ata.merehosting.com
Другое
Создает и запускает на исполнение
- '<Текущая директория>\info.exe'
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;
