Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinResSync' = '<SYSTEM32>\regsvr32.exe /s "%APPDATA%\Microsoft\Protect\a65561-a210b1-bee0e516-b024a0-0ca0.rs"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'WinResSync' = '<SYSTEM32>\regsvr32.exe /s "%APPDATA%\Microsoft\Protect\a65561-a210b1-bee0e516-b024a0-0ca0.rs"'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
- <SYSTEM32>\smss.exe
- <SYSTEM32>\csrss.exe
- <SYSTEM32>\wininit.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\lsm.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\dwm.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\wbem\wmiprvse.exe
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\fi51.doc
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\microsoft\protect\a65561-a210b1-bee0e516-b024a0-0ca0.rs
- %APPDATA%\microsoft\protect\a65561-a210b1-bee0e516-b024a0-0ca0.tpl
- %APPDATA%\microsoft\protect\once
Сетевая активность
TCP
Запросы HTTP GET
- http://ip##pi.com/json
- http://46.##6.148.138/ot5nxj9vv6
UDP
- DNS ASK ip##pi.com
- DNS ASK 1y############obld5773253n4njft9.dns.whatleaks.com
Другое
Запускает на исполнение
- '<SYSTEM32>\regsvr32.exe' /s "%APPDATA%\Microsoft\Protect\a65561-a210b1-bee0e516-b024a0-0ca0.rs"
