Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System Cache' = '%ALLUSERSPROFILE%\Package\lua.exe %ALLUSERSPROFILE%\Package\lua.dll'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'System Check' = '%ALLUSERSPROFILE%\adb.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '' = ''
Вредоносные функции
Запускает на исполнение (эксплоит)
- '<SYSTEM32>\msiexec.exe' /q /i %ALLUSERSPROFILE%\i.msi
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\i.msi
- %ALLUSERSPROFILE%\package\mime\core.dll
- %ALLUSERSPROFILE%\package\socket\core.dll
- %ALLUSERSPROFILE%\package\lua\socket\http.lua
- %ALLUSERSPROFILE%\package\lua\ltn12.lua
- %ALLUSERSPROFILE%\package\lua.dll
- %ALLUSERSPROFILE%\package\lua.exe
- %ALLUSERSPROFILE%\package\lua5.1.dll
- %ALLUSERSPROFILE%\package\lua\mime.lua
- %ALLUSERSPROFILE%\package\run.vbs
- %ALLUSERSPROFILE%\package\lua\socket.lua
- %ALLUSERSPROFILE%\package\lua\socket\url.lua
- %ALLUSERSPROFILE%\package\hvd
Сетевая активность
TCP
Запросы HTTP GET
- http://86.##5.252.45/108.msi
- /lsD1DdhMttgc23/page.php?id################## via 18#.#43.214.108
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\package\lua.exe' %ALLUSERSPROFILE%\Package\lua.dll"
Запускает на исполнение
- '%WINDIR%\syswow64\cscript.exe' "%ALLUSERSPROFILE%\\Package\run.vbs" //e:vbscript //B //NOLOGO
