Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WUDSHost' = '"%LOCALAPPDATA%\Plugin.sk_apiZ\WUDSHost.exe"'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="SK_API1" dir=in action=allow program="%LOCALAPPDATA%\Plugin.sk_apiZ\WUDSHost.exe" enable=yes
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall add rule name="SK_API2" dir=out action=allow program="%LOCALAPPDATA%\Plugin.sk_apiZ\WUDSHost.exe" enable=yes
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut3db2.tmp
- %LOCALAPPDATA%\plugin.sk_apiz\wudshost.exe
- %LOCALAPPDATA%\plugin.sk_apiz\src_9de45.bin
Удаляет следующие файлы
- %TEMP%\aut3db2.tmp
Сетевая активность
TCP
- 'sm##.gmail.com':465
UDP
- DNS ASK sm##.gmail.com
Другое
Создает и запускает на исполнение
- '%LOCALAPPDATA%\plugin.sk_apiz\wudshost.exe'
- '%WINDIR%\syswow64\cmd.exe' /C netsh wlan show profiles' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="SK_API1" dir=in action=allow program="%LOCALAPPDATA%\Plugin.sk_apiZ\WUDSHost.exe" enable=yes
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall firewall add rule name="SK_API2" dir=out action=allow program="%LOCALAPPDATA%\Plugin.sk_apiZ\WUDSHost.exe" enable=yes
- '%WINDIR%\syswow64\cmd.exe' /C netsh wlan show profiles
- '%WINDIR%\syswow64\netsh.exe' wlan show profiles
