Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\swsnikmmvk.url
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WinRing0_1_2_0] 'ImagePath' = '%WINDIR%\WinRing0x64.sys'
Создает следующие сервисы
- 'WinRing0_1_2_0' %WINDIR%\WinRing0x64.sys
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\mscorsvw.exe
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\desktop\setupclient.exe
- %ALLUSERSPROFILE%\rxthfcrhyt\cfgi
- %ALLUSERSPROFILE%\rxthfcrhyt\cfg
- %ALLUSERSPROFILE%\rxthfcrhyt\setupclient
- %ALLUSERSPROFILE%\rxthfcrhyt\r.vbs
Удаляет следующие файлы
- %ALLUSERSPROFILE%\rxthfcrhyt\r.vbs
Перемещает следующие файлы
- %ALLUSERSPROFILE%\rxthfcrhyt\setupclient в %ALLUSERSPROFILE%\rxthfcrhyt\setupclient.exe
Подменяет следующие файлы
- %ALLUSERSPROFILE%\rxthfcrhyt\r.vbs
Сетевая активность
TCP
- 'sg.##nexmr.com':80
UDP
- DNS ASK sg.##nexmr.com
Другое
Создает и запускает на исполнение
- '%HOMEPATH%\desktop\setupclient.exe'
- '%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\Desktop\SetupClient.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c, "%HOMEPATH%\Desktop\SetupClient.exe"
- '%WINDIR%\notepad.exe' -c "%ALLUSERSPROFILE%\RXTHfCrhyT\cfg"
- '%WINDIR%\syswow64\cmd.exe' /C WScript "%ALLUSERSPROFILE%\RXTHfCrhyT\r.vbs"
- '%WINDIR%\syswow64\wscript.exe' "%ALLUSERSPROFILE%\RXTHfCrhyT\r.vbs"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\mscorsvw.exe'
- '%WINDIR%\notepad.exe' -c "%ALLUSERSPROFILE%\RXTHfCrhyT\cfgi"
