Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>' = '<Полный путь к файлу>'
Изменения в файловой системе
Создает следующие файлы
- <PATH_SAMPLE>.ini
- <Текущая директория>\data\filters.txt
- <Текущая директория>\data\translations.txt
- <PATH_SAMPLE>_positions.ini
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Сетевая активность
TCP
Запросы HTTP GET
- http://www.cn##.com/id/10000664/device/rss/rss.html
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://pa#####.#oogleadservices.com/gampad/google_service.js
UDP
- DNS ASK ne#####.takapoto.dev
- DNS ASK cn##.com
- DNS ASK tr######e.googleapis.com
- DNS ASK gl######sic.econoday.com
- DNS ASK di###end.com
- DNS ASK microsoft.com
- DNS ASK pr##itf.com
- DNS ASK da##yfx.com
- DNS ASK pa#####.#oogleadservices.com
- DNS ASK ss#.####le-analytics.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\wisptis.exe' /ManualLaunch;
