Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'yw##ae.com':443
- 'ib##pi.com':443
- 'vh##sv.com':443
- 'ml##ui.com':443
- 'vo##wo.com':443
- 'nq##da.com':443
- 'il#.#renz.pl':80
- 'aa##yu.com':443
- 'gz##ae.com':443
- 'tg##zm.com':443
UDP:
- DNS ASK yw##ae.com
- DNS ASK ib##pi.com
- DNS ASK vh##sv.com
- DNS ASK ml##ui.com
- DNS ASK vo##wo.com
- DNS ASK nq##da.com
- DNS ASK il#.#renz.pl
- DNS ASK aa##yu.com
- DNS ASK gz##ae.com
- DNS ASK tg##zm.com
