Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msnmsgsr' = 'C:\test\svchost.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Компонент восстановления системы (SR)
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\winfx64.exe
- %TEMP%\serverid
- %TEMP%\prefixtype
- %TEMP%\packageinfo
- %TEMP%\netdata
- %TEMP%\mutexname
- %TEMP%\m3
- %TEMP%\m1
- %TEMP%\keylogger
- %TEMP%\ishk
- %TEMP%\isbind
- %TEMP%\imin
- %TEMP%\imax
- %TEMP%\hkt
- %TEMP%\usemutex
- %TEMP%\hkname
- %TEMP%\fullpath
- %TEMP%\fileattrib
- %TEMP%\dvclal
- %TEMP%\dirattrib
- %TEMP%\deepa.jpg
- %TEMP%\d7
- %TEMP%\d6
- %TEMP%\d5
- %TEMP%\d4
- %TEMP%\d3
- C:\test\svchost.exe
- %WINDIR%\syswow64\script.vbs
- %APPDATA%winfx64.exe
- %TEMP%\gencode
- %TEMP%\usepass
Присваивает атрибут 'скрытый' для следующих файлов
- <Полный путь к файлу>
- C:\test\svchost.exe
Сетевая активность
Подключается к
- '255.255.255.255':1604
UDP
- DNS ASK ve###.no-ip.info
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\winfx64.exe'
- 'C:\test\svchost.exe'
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>\Script.vbs"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "<SYSTEM32>\Script.vbs"
- '<SYSTEM32>\vssvc.exe'
- '<SYSTEM32>\svchost.exe' -k swprv
