Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\utodb] 'Start' = '00000000'
- [<HKLM>\System\CurrentControlSet\Services\utodb] 'ImagePath' = 'System32\drivers\auhrntce.sys'
- [<HKLM>\System\CurrentControlSet\services\msidntfs] 'ImagePath' = 'system32\drivers\svycfi.sys'
- [<HKLM>\System\CurrentControlSet\services\pswzcf] 'ImagePath' = 'system32\drivers\vzcfim.sys'
Создает следующие сервисы
- 'utodb' System32\drivers\auhrntce.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\f6ad.tmp.exe
- %WINDIR%\temp\msidntfs\ssl\cert.db
- <DRIVERS>\vzcfim.sys
- <DRIVERS>\svycfi.sys
- <SYSTEM32>\lmdzniosvc.exe
- %WINDIR%\temp\udd9c.tmp
- <DRIVERS>\auhrntce.sys
- %TEMP%\fe00.tmp
- <SYSTEM32>\wesarpk\lmdznio.sys
- %TEMP%\fc5a.tmp
- <SYSTEM32>\wesarpk\lmdzniodrv.sys
- %TEMP%\fc49.tmp
- <SYSTEM32>\wesarpk\lmdznio.exe
- %TEMP%\fb9d.tmp
- %TEMP%\is-hdkr3.tmp\f6ad.tmp.tmp
- %TEMP%\f779.tmp
- %WINDIR%\temp\msidntfs\ssl\securetrust network root ca 2.cer
- ctrlsmmsidntfs
Удаляет следующие файлы
- %TEMP%\fb9d.tmp
- %TEMP%\fc49.tmp
- %TEMP%\fc5a.tmp
- %TEMP%\fe00.tmp
- %WINDIR%\temp\udd9c.tmp
Сетевая активность
UDP
- DNS ASK op##dn.com
Другое
Добавляет корневой сертификат
Создает и запускает на исполнение
- '%TEMP%\f6ad.tmp.exe'
- '%TEMP%\f779.tmp' -insta
- '%TEMP%\is-hdkr3.tmp\f6ad.tmp.tmp' /SL5="$110244,5261791,397824,%TEMP%\F6AD.tmp.exe"
- '<SYSTEM32>\lmdzniosvc.exe' -starup
- '%TEMP%\f779.tmp' -insta' (со скрытым окном)
- '<SYSTEM32>\sc.exe' start utodb' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\sc.exe' start utodb
