Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ClipSrv' = '<LS_APPDATA>\Microsoft\clipsrv.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'EseNtUtl' = '%WINDIR%\esentutl.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'WinLogon' = '<LS_APPDATA>\Microsoft\winlogon.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '%WINDIR%\logman.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft RSVP' = '<LS_APPDATA>\Microsoft\Windows\rsvp.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Microsoft RSVP' = '%APPDATA%\Microsoft\rsvp.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Sessmgr' = '%APPDATA%\sessmgr.exe'
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<DRIVERS>\mstsc.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <LS_APPDATA>\Microsoft\Windows\rsvp.exe /c 7
- <DRIVERS>\mstsc.exe /c 99
- <LS_APPDATA>\Microsoft\Windows\rsvp.exe /c 80
- <LS_APPDATA>\Microsoft\clipsrv.exe /c 87
- %APPDATA%\Microsoft\rsvp.exe /c 95
- %WINDIR%\esentutl.exe /c 37
- %WINDIR%\esentutl.exe /c 45
- %APPDATA%\sessmgr.exe /c 66
- <DRIVERS>\mstsc.exe /c 96
- %WINDIR%\logman.exe /c 52
- %WINDIR%\spoolsv.exe /c 41
- <LS_APPDATA>\Microsoft\Windows\rsvp.exe /c 39
- <DRIVERS>\mstsc.exe /c 42
- %APPDATA%\Microsoft\rsvp.exe /c 46
- <LS_APPDATA>\Microsoft\Windows\logman.exe /c 77
- %APPDATA%\Microsoft\sessmgr.exe /c 64
- %APPDATA%\Microsoft\rsvp.exe /c 96
- %APPDATA%\Microsoft\rsvp.exe /r
- %WINDIR%\esentutl.exe /c 46
- <LS_APPDATA>\sessmgr.exe /c 43
- %APPDATA%\sessmgr.exe /c 53
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\RCX9.tmp
- <LS_APPDATA>\Microsoft\clipsrv.exe
- <LS_APPDATA>\Microsoft\RCXA.tmp
- %WINDIR%\spoolsv.exe
- %APPDATA%\RCX7.tmp
- %WINDIR%\esentutl.exe
- %WINDIR%\RCX8.tmp
- %WINDIR%\RCXE.tmp
- <LS_APPDATA>\Microsoft\winlogon.exe
- <LS_APPDATA>\Microsoft\RCXF.tmp
- %WINDIR%\RCXD.tmp
- <LS_APPDATA>\Microsoft\Windows\RCXB.tmp
- <DRIVERS>\RCXC.tmp
- %WINDIR%\logman.exe
- %APPDATA%\Microsoft\RCX2.tmp
- %APPDATA%\Microsoft\rsvp.exe
- %APPDATA%\Microsoft\RCX3.tmp
- %APPDATA%\Microsoft\sessmgr.exe
- %TEMP%\Twain002.Mtx
- <LS_APPDATA>\Microsoft\Windows\logman.exe
- <LS_APPDATA>\Microsoft\Windows\RCX1.tmp
- <LS_APPDATA>\sessmgr.exe
- <LS_APPDATA>\RCX6.tmp
- %APPDATA%\sessmgr.exe
- <DRIVERS>\RCX5.tmp
- <LS_APPDATA>\Microsoft\Windows\rsvp.exe
- <LS_APPDATA>\Microsoft\Windows\RCX4.tmp
- <DRIVERS>\mstsc.exe
Удаляет следующие файлы:
- %WINDIR%\spoolsv.exe
- %WINDIR%\esentutl.exe
- %APPDATA%\sessmgr.exe
- <LS_APPDATA>\Microsoft\winlogon.exe
- %WINDIR%\logman.exe
- <LS_APPDATA>\Microsoft\clipsrv.exe
- %APPDATA%\Microsoft\rsvp.exe
- %APPDATA%\Microsoft\sessmgr.exe
- <LS_APPDATA>\Microsoft\Windows\logman.exe
- <LS_APPDATA>\sessmgr.exe
- <DRIVERS>\mstsc.exe
- <LS_APPDATA>\Microsoft\Windows\rsvp.exe
Перемещает следующие файлы:
- <LS_APPDATA>\Microsoft\Windows\RCXB.tmp в <LS_APPDATA>\Microsoft\Windows\rsvp.exe
- <LS_APPDATA>\Microsoft\RCXA.tmp в <LS_APPDATA>\Microsoft\clipsrv.exe
- %WINDIR%\RCX9.tmp в %WINDIR%\spoolsv.exe
- <DRIVERS>\RCXC.tmp в <DRIVERS>\mstsc.exe
- <LS_APPDATA>\Microsoft\RCXF.tmp в <LS_APPDATA>\Microsoft\winlogon.exe
- %WINDIR%\RCXE.tmp в %WINDIR%\esentutl.exe
- %WINDIR%\RCXD.tmp в %WINDIR%\logman.exe
- %WINDIR%\RCX8.tmp в %WINDIR%\esentutl.exe
- %APPDATA%\Microsoft\RCX3.tmp в %APPDATA%\Microsoft\rsvp.exe
- %APPDATA%\Microsoft\RCX2.tmp в %APPDATA%\Microsoft\sessmgr.exe
- <LS_APPDATA>\Microsoft\Windows\RCX1.tmp в <LS_APPDATA>\Microsoft\Windows\logman.exe
- <LS_APPDATA>\Microsoft\Windows\RCX4.tmp в <LS_APPDATA>\Microsoft\Windows\rsvp.exe
- %APPDATA%\RCX7.tmp в %APPDATA%\sessmgr.exe
- <LS_APPDATA>\RCX6.tmp в <LS_APPDATA>\sessmgr.exe
- <DRIVERS>\RCX5.tmp в <DRIVERS>\mstsc.exe
Сетевая активность:
Подключается к:
- 'www.ms###csi.com':80
TCP:
Запросы HTTP GET:
- www.ms###csi.com/ncsi.txt
UDP:
- DNS ASK www.ms###csi.com
- DNS ASK dn#.##ftncsi.com
- DNS ASK ly###s-db.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
