Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Windows Session Manager' = '"%ALLUSERSPROFILE%\services\csrss.exe"'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\services\csrss.exe
- %TEMP%\9p2i8f~1\state.tmp
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus.tmp
- %TEMP%\9p2i8f~1\cached-certs.tmp
- %TEMP%\9p2i8f~1\cached-microdesc-consensus.tmp
- %TEMP%\9p2i8f~1\cached-microdescs.new
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\services\csrss.exe
Удаляет следующие файлы
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus
- %TEMP%\9p2i8f~1\state
Перемещает следующие файлы
- %TEMP%\9p2i8f~1\state.tmp в %TEMP%\9p2i8f~1\state
- %TEMP%\9p2i8f~1\unverified-microdesc-consensus.tmp в %TEMP%\9p2i8f~1\unverified-microdesc-consensus
- %TEMP%\9p2i8f~1\cached-certs.tmp в %TEMP%\9p2i8f~1\cached-certs
- %TEMP%\9p2i8f~1\cached-microdesc-consensus.tmp в %TEMP%\9p2i8f~1\cached-microdesc-consensus
Подменяет следующие файлы
- %TEMP%\9p2i8f~1\state.tmp
- %TEMP%\9p2i8f~1\state
Сетевая активность
TCP
Запросы HTTP GET
- http://wh#####yipaddress.com/
- http://wh###myip.net/
UDP
- DNS ASK wh#####yipaddress.com
- DNS ASK wh###myip.net
