Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Intel(R) Common Networking System' = '%APPDATA%\Intel Corporation\Intel(R) Common User Interface\8.1.1.7900\svchost.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Intel(R) Common User Networking' = '%APPDATA%\Intel Corporation\Intel(R) Common User Interface\8.1.1.7900\explorer.exe'
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\Microsoft\Windows\explorer.exe" "explorer.exe" ENABLE
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\tempsetup.exe
- %TEMP%\_mei24082\base_library.zip
- %TEMP%\_mei24082\certifi\cacert.pem
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\authors.rst
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\installer
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\license
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\license.apache
- %TEMP%\_mei24082\_lzma.pyd
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\license.bsd
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\metadata
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\record
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\wheel
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\top_level.txt
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\server.zip
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\svchost.exe
- %TEMP%\_mei24082\select.pyd
- %TEMP%\_mei24082\unicodedata.pyd
- %TEMP%\_mei24082\python37.dll
- %TEMP%\_mei24082\pyexpat.pyd
- %TEMP%\_mei24082\libssl-1_1.dll
- %TEMP%\_mei24082\antipublic.exe.manifest
- %TEMP%\_mei24082\vcruntime140.dll
- %TEMP%\_mei24082\_bz2.pyd
- %TEMP%\_mei24082\_cffi_backend.cp37-win32.pyd
- %TEMP%\_mei24082\_ctypes.pyd
- %TEMP%\_mei24082\_decimal.pyd
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\explorer.zip
- %TEMP%\_mei24082\cryptography-2.7-py3.7.egg-info\license.psf
- %TEMP%\_mei24082\_hashlib.pyd
- %TEMP%\_mei24082\_queue.pyd
- %TEMP%\_mei24082\_socket.pyd
- %TEMP%\_mei24082\_ssl.pyd
- %TEMP%\_mei24082\cryptography\hazmat\bindings\_constant_time.cp37-win32.pyd
- %TEMP%\_mei24082\cryptography\hazmat\bindings\_openssl.cp37-win32.pyd
- %TEMP%\_mei24082\libcrypto-1_1.dll
- <Текущая директория>\~antipublic.exe
- %TEMP%\_mei24082\_multiprocessing.pyd
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\explorer.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\tempsetup.exe
- <Текущая директория>\~antipublic.exe
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\svchost.exe
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\explorer.exe
Удаляет следующие файлы
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\server.zip
- %APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\explorer.zip
Сетевая активность
TCP
Запросы HTTP GET
- http://ca###urk.com/1/explorer.txt
- http://sa####onnect.com/resources/views/images/1/explorer.zip
UDP
- DNS ASK ca###urk.com
- DNS ASK sa####onnect.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\tempsetup.exe'
- '<Текущая директория>\~antipublic.exe'
- '%APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\svchost.exe'
- '%APPDATA%\intel corporation\intel(r) common user interface\8.1.1.7900\explorer.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%APPDATA%\Microsoft\Windows\explorer.exe" "explorer.exe" ENABLE' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c title Anti Public Checker by Yuri - Idle [0/0] - Private: 0 - Public: 0
