Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'User Protection' = '"%PROGRAM_FILES%\User Protection\usrprot.exe" -noscan'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
- <SYSTEM32>\net1.exe stop winmgmt /y
- <SYSTEM32>\net1.exe start winmgmt
- <SYSTEM32>\net1.exe start wscsvc
- <SYSTEM32>\net1.exe stop wscsvc
- <SYSTEM32>\net.exe stop wscsvc
- <SYSTEM32>\net.exe stop winmgmt /y
- <SYSTEM32>\wbem\mofcomp.exe %TEMP%\4otjesjty.mof
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnZoneCrossing' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp1.tmp
- %TEMP%\4otjesjty.mof
Удаляет следующие файлы:
- %TEMP%\tmp1.tmp
Сетевая активность:
Подключается к:
- 'fi###rnos.org':80
- 'se####tyletters.com':80
- 'se####tytaxes.com':80
- 'el##ind.org':80
TCP:
Запросы HTTP GET:
- fi###rnos.org/usr/usrr.dat
- fi###rnos.org/usr/usr.dat
- fi###rnos.org/usr/usr_db
- se####tyletters.com/usr/usrr.dat
- se####tyletters.com/usr/usr.dat
- se####tyletters.com/usr/usr_db
- se####tytaxes.com/usr/usrr.dat
- se####tytaxes.com/usr/usr.dat
- se####tytaxes.com/usr/usr_db
- el##ind.org/usr/usrr.dat
- el##ind.org/usr/usr.dat
- el##ind.org/usr/usr_db
UDP:
- DNS ASK fi###rnos.org
- DNS ASK se####tyletters.com
- DNS ASK se####tytaxes.com
- DNS ASK el##ind.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
