Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\slnpodky.exe
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\recycler\s-0-6-56-0840730155-3031711450-245122017-2037\alfmrbsz.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\recycler\s-0-6-56-0840730155-3031711450-245122017-2037\fafailwv.cpl
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\smss.exe
- <SYSTEM32>\csrss.exe
- <SYSTEM32>\wininit.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\lsm.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\rundll32.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- regsvr32mgr.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\regsvr32mgr.exe
- %WINDIR%\comres.dll
- %CommonProgramFiles%\system\symsrv.dll
- %ProgramFiles(x86)%\internet explorer\dmlconf.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\start menu\programs\startup\slnpodky.exe
Сетевая активность
Подключается к
- 'google.com':80
- 'su###wdmn.com':447
UDP
- DNS ASK google.com
- DNS ASK su###wdmn.com
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\regsvr32mgr.exe'
Запускает на исполнение
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe'
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ProgramFiles(x86)%\internet exp...
