Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Antivirus' = '"%ProgramFiles(x86)%\AnVi\avt.exe" -noscan'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop wscsvc
- '%WINDIR%\syswow64\net.exe' stop winmgmt /y
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnZoneCrossing' = '00000000'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\4otjesjty.mof
- %TEMP%\tmp5b31.tmp
- %WINDIR%\temp\fwtsqmfile01.sqm
Удаляет следующие файлы
- %TEMP%\tmp5b31.tmp
Сетевая активность
TCP
Запросы HTTP GET
- http://se###hdusty.com/avt/avt_db
- http://ww#.##archdusty.com/
- http://se###hdusty.com/avt/avt.dat
- http://se###hdusty.com/avt/avtr.dat
UDP
- DNS ASK se###hdusty.com
- DNS ASK ww#.##archdusty.com
- DNS ASK fa###ofgeld.com
- DNS ASK hi####y-traffic.com
- DNS ASK fr###entwin.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop wscsvc' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop winmgmt /y' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start winmgmt' (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start wscsvc' (со скрытым окном)
- '%WINDIR%\syswow64\wbem\mofcomp.exe' %TEMP%\4otjesjty.mof' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' start winmgmt
- '%WINDIR%\syswow64\net.exe' start wscsvc
- '%WINDIR%\syswow64\wbem\mofcomp.exe' %TEMP%\4otjesjty.mof
- '%WINDIR%\syswow64\net1.exe' stop wscsvc
- '%WINDIR%\syswow64\net1.exe' stop winmgmt /y
- '%WINDIR%\syswow64\net1.exe' start winmgmt
- '%WINDIR%\syswow64\net1.exe' start wscsvc
