Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'LSA Shell (Export Version) v5.4 . Microsoft Corporation.' = '%WINDIR%\inf\rdyboost\wscsvc.exe -hide -start'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WindowsServices] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %WINDIR%\security\sfu\service.exe
- %WINDIR%\inf\rdyboost\wscsvc.exe -hide -start
- %TEMP%\sfu.exe
- %WINDIR%\security\sfu\service.exe /install /silent
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorUser /t REG_DWORD /d 3 /f
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v HelpAssistant /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\PublicProfile" /v "DisableNotifications" /d "0" /t "REG_DWORD" /f
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v ConsentPromptBehaviorAdmin /t REG_DWORD /d 0 /f
- <SYSTEM32>\ping.exe 127.0.0.1 -n 3
- <SYSTEM32>\attrib.exe +S +H -R %WINDIR%\inf\rdyboost
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "LSA Shell (Export Version) v5.4 . Microsoft Corporation." /d "%WINDIR%\inf\rdyboost\wscsvc.exe -hide -start" /t "REG_SZ" /f
- <SYSTEM32>\attrib.exe -s -h inst.cmd
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v "EnableBalloonTips" /d "0" /t "REG_DWORD" /f
- <SYSTEM32>\attrib.exe -s -h pre.cmd
- <SYSTEM32>\cmd.exe /c ""%TEMP%\inst.cmd" "
- <SYSTEM32>\sc.exe config Alerter start= disabled
- <SYSTEM32>\net.exe stop wscsvc
- <SYSTEM32>\net1.exe stop wscsvc
- <SYSTEM32>\cmd.exe /c ""%TEMP%\pre.cmd" "
- <SYSTEM32>\net.exe stop Alerter
- <SYSTEM32>\net1.exe stop Alerter
- <SYSTEM32>\net1.exe stop SharedAccess
- <SYSTEM32>\sc.exe config SharedAccess start= disabled
- <SYSTEM32>\net1.exe start "Steam Files Updater"
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\security\sfu\sfustart.bat" "
- <SYSTEM32>\sc.exe config wscsvc start= disabled
- <SYSTEM32>\net.exe stop SharedAccess
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\sfu.exe
- %WINDIR%\security\sfu\Data\Config.ini
- %WINDIR%\inf\rdyboost\wscsvc.exe
- %TEMP%\inst.cmd
- %TEMP%\pre.cmd
- %WINDIR%\security\sfu\Data\ServerFilesHistory.txt
- %TEMP%\00000BC000400000.bin
- %WINDIR%\security\sfu\Data\Logs\231012.лог
- %WINDIR%\security\sfu\service.exe
- %WINDIR%\security\sfu\sfustart.bat
- %WINDIR%\inf\rdyboost\config.txt
- %WINDIR%\inf\rdyboost\Config\clcmds.txt
- %WINDIR%\inf\rdyboost\Config\hostnames.txt
- %WINDIR%\inf\rdyboost\Config\Advanced\masters.txt
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\inf\rdyboost\Config\redirect.txt
- %WINDIR%\inf\rdyboost\Config\rules.txt
- %WINDIR%\inf\rdyboost\Config\players.txt
- %WINDIR%\inf\rdyboost\Config\mappings.txt
- %WINDIR%\inf\rdyboost\Config\maps.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\inf\rdyboost\config.txt
- %WINDIR%\inf\rdyboost\Config\rules.txt
- %TEMP%\inst.cmd
- %WINDIR%\inf\rdyboost\wscsvc.exe
- %TEMP%\pre.cmd
- %WINDIR%\inf\rdyboost\Config\redirect.txt
- %WINDIR%\inf\rdyboost\Config\hostnames.txt
- %WINDIR%\inf\rdyboost\Config\clcmds.txt
- %WINDIR%\inf\rdyboost\Config\mappings.txt
- %WINDIR%\inf\rdyboost\Config\players.txt
- %WINDIR%\inf\rdyboost\Config\maps.txt
Удаляет следующие файлы:
- %TEMP%\pre.cmd
- %TEMP%\inst.cmd
- %TEMP%\sfu.exe
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\00000BC000400000.bin
Сетевая активность:
UDP:
- '17#.#36.137.96':27010
- '69.##.158.131':27012
- '92.##3.95.195':27010
- '95.##8.243.86':27010
- '88.##8.225.53':27010
- '20#.#4.200.117':27011
- '17#.9.50.13':27010
- '20#.#4.200.118':27011
- '46.#.71.67':27011
- '46.#.71.67':27010
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
