Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Windows Srvs' = '%HOMEPATH%\57484584663758364634738454\wincrsn.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\57484584663758364634738454\wincrsn.exe' = '%HOMEPATH%\57484584663758364634738454\wincrsn.exe:*:Enabled:Microsoft Windows Srvs'
Создает и запускает на исполнение:
- %HOMEPATH%\57484584663758364634738454\wincrsn.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %HOMEPATH%\57484584663758364634738454\wincrsn.exe
- %TEMP%\FkCECn.kCB
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\33709acf-6fd6-4268-8849-6f4d6f16947a
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\57484584663758364634738454\wincrsn.exe
Удаляет следующие файлы:
- %TEMP%\FkCECn.kCB
Сетевая активность:
Подключается к:
- 'sr##0.biz':5050
UDP:
- DNS ASK sr##0.biz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ftugavGaB' WindowName: 'XpvBtrVLxo'
