Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Media' = '<SYSTEM32>\WmInit.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\WmInit.exe' = '<SYSTEM32>\WmInit.exe:*:Enabled:Microsoft Windows Media'
Создает и запускает на исполнение:
- <SYSTEM32>\WmInit.exe "<Полный путь к вирусу>"
Завершает или пытается завершить
следующие пользовательские процессы:
- AVP.COM
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\3C83474D61E624A4F9844DF935AFE217
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\3C83474D61E624A4F9844DF935AFE217
- <SYSTEM32>\WmInit.dat
- <SYSTEM32>\WmInit.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '64.#6.64.13':53105
- '64.#6.64.13':53106
- '64.#6.64.13':53103
- '64.#6.64.13':53110
- '64.#6.64.13':53108
- 't1###18190.info':53100
- 't1###18191.info':53100
- '64.#6.64.13':53104
- 't1###18190.org':53100
- '64.#6.64.13':53102
- '64.#6.64.13':53101
- 't1###18190.net':53100
- 't1###18191.net':53100
- 't1###18190.com':53100
- '64.#6.64.13':53107
- 't1###18191.com':53100
- '64.#6.64.13':53109
- 'wp#d':80
- '20#.#6.232.182':80
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/pki/crl/products/WindowsPCA.crl
- wp#d/wpad.dat
UDP:
- DNS ASK t1###18190.org
- DNS ASK t1###18191.com
- DNS ASK t1###18191.info
- DNS ASK t1###18190.info
- DNS ASK crl.microsoft.com
- DNS ASK t1###18190.com
- DNS ASK t1###18191.net
- DNS ASK wp#d
- DNS ASK t1###18190.net
Другое:
Ищет следующие окна:
- ClassName: 'SysListView32' WindowName: ''
