Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'UsbDriver' = '%APPDATA%\Microsoft\SecureData\Ushell.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\usbdriver
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- <PATH_SAMPLE>.txt
- %APPDATA%\microsoft\securedata\ushell.exe
- <Текущая директория>\self.bat
Самоудаляется.
Сетевая активность
TCP
- 'ip###ger.org':443
UDP
- DNS ASK ip###ger.org
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: 'SHELLDLL_DefView' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /delete /tn UsbDriver /f' (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /rl highest /tn UsbDriver /tr "%APPDATA%\Microsoft\SecureData\Ushell.exe" /f' (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\Self.bat" "' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /delete /tn UsbDriver /f
- '<SYSTEM32>\schtasks.exe' /create /sc minute /mo 1 /rl highest /tn UsbDriver /tr "%APPDATA%\Microsoft\SecureData\Ushell.exe" /f
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\Self.bat" "
