Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Connection Manager.lnk
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\explorer.exe' = '%WINDIR%\explorer.exe:*:Enabled:Windows Update'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%WINDIR%\explorer.exe' = '%WINDIR%\explorer.exe:*:Enabled:Windows Update'
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall add allowedprogram program="%WINDIR%\explorer.exe" name="Windows Update" mode=ENABLE scope=ALL profile=ALL
- %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Connection Manager\Connection Manager.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Start Menu\Programs\Startup\Connection Manager.lnk
Удаляет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Connection Manager.lnk
- %APPDATA%\Connection Manager\Connection Manager.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ch###idol.com':8773
- '20#.#6.232.182':80
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/windowsupdate/v6/thanks.aspx?ln###################
UDP:
- DNS ASK ch###idol.com
- DNS ASK up####.microsoft.com
