Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Windows-Audio Driver' = '%PROGRAMDATA%\wscntfy.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Windows-Network Component' = '%CommonProgramFiles(x86)%\lsmass.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components\{F0DFF49E-A620-568B-BD88-E3D10796EA23}] 'StubPath' = '%PROGRAMDATA%\wscntfy.exe -r'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram program="%PROGRAMDATA%\wscntfy.exe" name="Windows-Audio Driver" mode=ENABLE scope=ALL profile=ALL
Внедряет код в
следующие пользовательские процессы:
- lsmass.exe
Изменения в файловой системе
Создает следующие файлы
- %PROGRAMDATA%\wscntfy.exe
- %CommonProgramFiles(x86)%\lsmass.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %PROGRAMDATA%\wscntfy.exe
- %CommonProgramFiles(x86)%\lsmass.exe
Сетевая активность
UDP
- DNS ASK google.com
- DNS ASK dr###ase.net
Другое
Создает и запускает на исполнение
- '%PROGRAMDATA%\wscntfy.exe'
- '%CommonProgramFiles(x86)%\lsmass.exe'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /hint /ETOnly 0 /OnProfiles 6 /OtherAllowed 3 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%PROGRAMDATA%\wscntfy.exe"
