Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'smsr' = '<Полный путь к файлу>'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\AeroadminService] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\AeroadminService] 'ImagePath' = '"%TEMP%\svhost.exe" s -sid 1 '
Создает следующие сервисы
- 'AeroadminService' "%TEMP%\svhost.exe" s -sid 1
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKLM>\Software\Microsoft\Windows Mail]
- [<HKCU>\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut68ff.tmp
- %TEMP%\svhost.exe
- %ALLUSERSPROFILE%\aeroadmin\config
- %ALLUSERSPROFILE%\aeroadmin\log.txt
- %ALLUSERSPROFILE%\aeroadmin\guid.bin
- %ALLUSERSPROFILE%\aeroadmin\settings.bin
- %TEMP%\captured.jpg
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\svhost.exe
Удаляет следующие файлы
- %TEMP%\aut68ff.tmp
Сетевая активность
Подключается к
- 'au####.aeroadmin.com':443
- 'ma##.#mtp2go.com':443
- 'microsoft.com':80
TCP
- 'au####.aeroadmin.com':443
- 'ma##.#mtp2go.com':443
UDP
- DNS ASK au####.aeroadmin.com
- DNS ASK ma##.#mtp2go.com
- DNS ASK microsoft.com
Другое
Ищет следующие окна
- ClassName: 'CustomWndCls' WindowName: 'CustomWndCls'
Создает и запускает на исполнение
- '%TEMP%\svhost.exe'
- '%TEMP%\svhost.exe' s -sid 1
- '%TEMP%\svhost.exe' a -sid 1
