Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'msfw' = '"%APPDATA%\msfw.exe" /s'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyServer' = '127.0.0.1:51674'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\certificates\rootssl.crt
- %APPDATA%\certificates\rootssl.key
- %APPDATA%\certificates\rootssl.p12
- %APPDATA%\log\lsproxy_2020-08-21-20.45.56.log
- %APPDATA%\certificates\dh2048_ssl.pem
- %APPDATA%\certificates\allrootcerts.pem
- %APPDATA%\msfw.exe
- %APPDATA%\microsoft-edge.vbs
- <Текущая директория>\db.txt
- %APPDATA%\log\lsproxy_2020-08-21-20.46.10.log
Другое
Создает и запускает на исполнение
- '%APPDATA%\msfw.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c certutil -addstore -f -enterprise -user root "%APPDATA%\certificates\rootSSL.crt"
- '<SYSTEM32>\certutil.exe' -addstore -f -enterprise -user root "%APPDATA%\certificates\rootSSL.crt"
- '<SYSTEM32>\cmd.exe' /c %APPDATA%\msfw.exe
