Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\csrss.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\is-g4ukc.tmp\<Имя файла>.tmp
- %TEMP%\is-f2adm.tmp\_isetup\_setup64.tmp
- %TEMP%\is-f2adm.tmp\gc.dll
- %TEMP%\is-f2adm.tmp\youtubedownloader_uk_b.rar
- %TEMP%\is-f2adm.tmp\unrar.exe
- %TEMP%\is-f2adm.tmp\youtube_downloader_setupk.exe
- %TEMP%\is-lndu0.tmp\youtube_downloader_setupk.tmp
- %TEMP%\is-ne36d.tmp\_isetup\_setup64.tmp
- %TEMP%\is-ne36d.tmp\_isetup\_iscrypt.dll
Подменяет следующие файлы
- %ProgramFiles%\UNP\Logs\UpdateNotificationPipeline.001.etl
Сетевая активность
TCP
Запросы HTTP GET
- http://do##cdn.ml/server1/ic/YoutubeDownloader_UK_B.rar
- http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?40##############
UDP
- DNS ASK do##cdn.ml
- DNS ASK share.microsoft.com
- DNS ASK go.microsoft.com
- DNS ASK settings-win.data.microsoft.com
- DNS ASK maps.windows.com
- DNS ASK dl.delivery.mp.microsoft.com
- DNS ASK ar#.msn.com
- DNS ASK im##########-rt-microsoft-com.akamaized.net
Другое
Создает и запускает на исполнение
- '%TEMP%\is-g4ukc.tmp\<Имя файла>.tmp' /SL5="$40120,1012633,780800,<Полный путь к файлу>"
- '%TEMP%\is-f2adm.tmp\unrar.exe' e -y YoutubeDownloader_UK_B.rar
- '%TEMP%\is-f2adm.tmp\youtube_downloader_setupk.exe'
- '%TEMP%\is-lndu0.tmp\youtube_downloader_setupk.tmp' /SL5="$30296,3632437,721408,%TEMP%\is-F2ADM.tmp\Youtube_Downloader_SetupK.exe"
- '%TEMP%\is-f2adm.tmp\unrar.exe' e -y YoutubeDownloader_UK_B.rar' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\devicecensus.exe' UserCxt
- '<SYSTEM32>\svchost.exe' -k netsvcs -p
