Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'jTZMpMAQdG' = '%APPDATA%\xMZGzWLKoa\cMTCLkCfXs.exe'
- [<HKCU>\software\Microsoft\Windows\CurrentVersion\Run] '1878707a936e60af02e0b0b7792866a4' = '"%TEMP%\winlogon.exe" ..'
- [<HKLM>\software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '1878707a936e60af02e0b0b7792866a4' = '"%TEMP%\winlogon.exe" ..'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\1878707a936e60af02e0b0b7792866a4.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\winlogon.exe" "winlogon.exe" ENABLE
Внедряет код в
следующие пользовательские процессы:
- winlogon.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\xmzgzwlkoa\cmtclkcfxs.exe
- %TEMP%\winlogon.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\winlogon.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\1878707a936e60af02e0b0b7792866a4.exe
Сетевая активность
UDP
- DNS ASK di#####rlrl.ddns.net
Другое
Создает и запускает на исполнение
- '%TEMP%\winlogon.exe'
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "%TEMP%\winlogon.exe" "winlogon.exe" ENABLE' (со скрытым окном)
