Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Winlogon' = '%APPDATA%\SubFolder\SubFolder\winlogon.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Winlogon' = '%APPDATA%\SubFolder\SubFolder\winlogon.exe'
Вредоносные функции
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\microsoft\windows\templates\nsjjddqub.exe'
Внедряет код в
следующие пользовательские процессы:
- winlogon.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\csrss.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
- %APPDATA%\microsoft\windows\templates\nsjjddqub.exe
- %APPDATA%\subfolder\subfolder\winlogon.exe
Сетевая активность
TCP
- 'ni####xitupd.biz.pl':443
UDP
- DNS ASK ni####xitupd.biz.pl
Другое
Ищет следующие окна
- ClassName: 'CicLoaderWndClass' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\subfolder\subfolder\winlogon.exe'
Запускает на исполнение
- '<SYSTEM32>\smss.exe' 00000000 0000003c
- '<SYSTEM32>\csrss.exe' ObjectDirectory=\Windows SharedSection=1024,20480,768 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitializa...
- '<SYSTEM32>\winlogon.exe'
