Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'sethsetx' = '%APPDATA%\regisort\oskSVCS.exe'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\getmsync] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\getmsync] 'ImagePath' = '<SYSTEM32>\getmsync.exe -s'
Создает следующие сервисы
- 'getmsync' <SYSTEM32>\getmsync.exe -s
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\regisort\osksvcs.exe
- %WINDIR%\syswow64\getmsync.exe
- %TEMP%\~4430.tmp
- %TEMP%\~454a.tmp
- %TEMP%\~46d1.tmp
- %TEMP%\~4849.tmp
- %TEMP%\~48f1.tmp
- %WINDIR%\temp\~4910.tmp
Удаляет следующие файлы
- %TEMP%\~4430.tmp
- %TEMP%\~454a.tmp
- %TEMP%\~46d1.tmp
- %WINDIR%\temp\~4910.tmp
- %TEMP%\~4849.tmp
- %TEMP%\~48f1.tmp
Другое
Создает и запускает на исполнение
- '%APPDATA%\regisort\osksvcs.exe'
- '%WINDIR%\syswow64\getmsync.exe' -s
- '%TEMP%\~4430.tmp' 495624 2144 1
- '%TEMP%\~454a.tmp' 495624 2144 2
- '%TEMP%\~46d1.tmp' 495624 2144 2
- '%TEMP%\~4849.tmp' 495624 2144 2
- '%WINDIR%\temp\~4910.tmp' 495624 2976 2
- '%TEMP%\~48f1.tmp' 495624 1004 2
