Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\CRMSvc] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\CRMSvc] 'ImagePath' = '"%WINDIR%\CRMSvc.exe"'
Создает следующие сервисы
- 'CRMSvc' "%WINDIR%\CRMSvc.exe"
- 'CRMSvc' %WINDIR%\CRMSvc.exe
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="CRMSvc" dir=in action=allow program="%WINDIR%\CRMSvc.exe" enable=yes
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\crmsvc.exe
- %WINDIR%\crmsvc.installlog
- %WINDIR%\crmsvc.installstate
Удаляет следующие файлы
- %WINDIR%\crmsvc.installlog
- %WINDIR%\crmsvc.installstate
Сетевая активность
Подключается к
- '17#.9.8.183':2247
Другое
Создает и запускает на исполнение
- '%WINDIR%\crmsvc.exe' --install
- '%WINDIR%\crmsvc.exe'
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall delete rule name="CRMSvc"' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall add rule name="CRMSvc" dir=in action=allow program="%WINDIR%\CRMSvc.exe" enable=yes' (со скрытым окном)
- '%WINDIR%\crmsvc.exe' --install' (со скрытым окном)
- '<SYSTEM32>\sc.exe' failure "CRMSvc" reset= 2 actions= restart/10000' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall delete rule name="CRMSvc"
- '<SYSTEM32>\netsh.exe' advfirewall firewall delete rule name="CRMSvc"
- '<SYSTEM32>\cmd.exe' /C netsh advfirewall firewall add rule name="CRMSvc" dir=in action=allow program="%WINDIR%\CRMSvc.exe" enable=yes
- '<SYSTEM32>\sc.exe' failure "CRMSvc" reset= 2 actions= restart/10000
