Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'services.exe' = '"%APPDATA%\Microsoft\Windows\services.exe" -start'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\!!! all your files are encrypted !!!.txt
- <Имя диска съемного носителя>:\sioc.rdf
- <Имя диска съемного носителя>:\schema.rdf
- <Имя диска съемного носителя>:\contenttypes.rdf
- <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx
- <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\indogerman2010.pptx
- <Имя диска съемного носителя>:\sacs_presentation_sacs_qep_improving_rt_education_final.ppt
- <Имя диска съемного носителя>:\metac.ppt
- <Имя диска съемного носителя>:\ksearch_esa_talk.ppt
- <Имя диска съемного носителя>:\accountsreceivable.ppt
- <Имя диска съемного носителя>:\arrow-down.png
- <Имя диска съемного носителя>:\asm.png
- <Имя диска съемного носителя>:\bg_search_box.png
- <Имя диска съемного носителя>:\calibre.png
- <Имя диска съемного носителя>:\dissolveanother.png
- <Имя диска съемного носителя>:\tunpersonalca1.pem
- <Имя диска съемного носителя>:\ck.pem
- <Имя диска съемного носителя>:\delongcacert.pem
- <Имя диска съемного носителя>:\cert.pem
- <Имя диска съемного носителя>:\investmentbankca_ca8.pem
- <Имя диска съемного носителя>:\elvisimp.rdf
- <Имя диска съемного носителя>:\swc_2009-03-02.rdf
- <Имя диска съемного носителя>:\price.zip
- <Имя диска съемного носителя>:\router_manual.rtf
- <Имя диска съемного носителя>:\1sm_price.zip
- <Имя диска съемного носителя>:\fiche_inscription_2015.zip
- <Имя диска съемного носителя>:\excel_example.zip
- <Имя диска съемного носителя>:\national_autism_preparation_programs.xlsx
- <Имя диска съемного носителя>:\trtf_matrix2012_oct.xlsx
- <Имя диска съемного носителя>:\2013_smccc_competition_points_jul2013.xlsx
- <Имя диска съемного носителя>:\highly_cited_2001.xlsx
- <Имя диска съемного носителя>:\cee_mmsprogram_summary_public.xlsx
- <Имя диска съемного носителя>:\disclosuredetails.xlsx
- <Имя диска съемного носителя>:\excel_example.xls
- <Имя диска съемного носителя>:\calculatorworksheet.xls
- <Имя диска съемного носителя>:\productos.xls
- <Имя диска съемного носителя>:\babyboymaintoscenesbackground.wmv
- <Имя диска съемного носителя>:\flower_trans_matte.wmv
- <Имя диска съемного носителя>:\babyboymaintoscenesbackground_pal.wmv
- <Имя диска съемного носителя>:\babyboymaintonotesbackground_pal.wmv
- <Имя диска съемного носителя>:\passport_pal.wmv
- <Имя диска съемного носителя>:\military_callsigns_0311.rtf
- <Имя диска съемного носителя>:\pubnet_855.rtf
- <Имя диска съемного носителя>:\static_electricity_easy_and_quick_activities.rtf
- <Имя диска съемного носителя>:\pandp.rtf
- <Имя диска съемного носителя>:\ck_ugo.pem
- <Имя диска съемного носителя>:\20140114.rdf
- <Имя диска съемного носителя>:\ff_ot_user_guide.pdf
- <Имя диска съемного носителя>:\ituneshelpunavailable.htm
- <Имя диска съемного носителя>:\trivial-merge.htm
- <Имя диска съемного носителя>:\wrar520.exe
- <Имя диска съемного носителя>:\chromesetup.exe
- <Имя диска съемного носителя>:\calc.exe
- <Имя диска съемного носителя>:\skypesetup.exe
- <Имя диска съемного носителя>:\dotnetfx45_full_setup.exe
- <Имя диска съемного носителя>:\notepad.exe
- <Имя диска съемного носителя>:\sdszfo.docx
- <Имя диска съемного носителя>:\hadac_newsletter_july_2010_final.docx
- <Имя диска съемного носителя>:\nwfieldnotes1966.docx
- <Имя диска съемного носителя>:\lisp_success.doc
- <Имя диска съемного носителя>:\cveuropeo.doc
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\join.avi
- <Имя диска съемного носителя>:\64bit_notes.htm
- <Имя диска съемного носителя>:\advice_process.htm
- <Имя диска съемного носителя>:\spib_pima.pdf
- <Имя диска съемного носителя>:\iisstart.htm
- <Имя диска съемного носителя>:\2015-02-patients-topic-work-related-asthma-jobs.pdf
- <Имя диска съемного носителя>:\lom602.pdf
- <Имя диска съемного носителя>:\d0068197bb5a41fea16a220c45390606.mp4
- <Имя диска съемного носителя>:\video_1.mp4
- <Имя диска съемного носителя>:\clip_480_5sec_6mbps_h264.mp4
- <Имя диска съемного носителя>:\etc6_m_1.mov
- <Имя диска съемного носителя>:\scan.mov
- <Имя диска съемного носителя>:\spanner.mov
- <Имя диска съемного носителя>:\dag2_panel1_320_ref.mov
- <Имя диска съемного носителя>:\3.jpg
- <Имя диска съемного носителя>:\4f0bf7ff71f28.jpg
- <Имя диска съемного носителя>:\pushkin.jpg
- <Имя диска съемного носителя>:\2.jpg
- <Имя диска съемного носителя>:\parnas_01.jpeg
- <Имя диска съемного носителя>:\3.jpeg
- <Имя диска съемного носителя>:\4f0bf7ff71f28.jpeg
- <Имя диска съемного носителя>:\pushkin.jpeg
- <Имя диска съемного носителя>:\howto-index.html
- <Имя диска съемного носителя>:\browse.html
- <Имя диска съемного носителя>:\trivial-merge.html
- <Имя диска съемного носителя>:\about.html
- <Имя диска съемного носителя>:\7790_preview.pdf
- <Имя диска съемного носителя>:\calculatorworksheet.zip
Вредоносные функции
Для затруднения выявления своего присутствия в системе
удаляет теневые копии разделов.
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\notepad.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\05f5bf5f.zeppelin
- %APPDATA%\microsoft\windows\services.exe
- %TEMP%\edb7477f.zeppelin
- %TEMP%\~temp001.bat
- D:\$recycle.bin\.zeppelin
- D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\.zeppelin
- D:\!!! all your files are encrypted !!!.txt
- D:\$recycle.bin\!!! all your files are encrypted !!!.txt
- D:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\!!! all your files are encrypted !!!.txt
- C:\$recycle.bin\.zeppelin
- C:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\.zeppelin
Удаляет следующие файлы
- %TEMP%\05f5bf5f.zeppelin
- %TEMP%\edb7477f.zeppelin
Изменяет следующие файлы
- <Имя диска съемного носителя>:\join.avi
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\hanni_umami_chapter.doc
- <Имя диска съемного носителя>:\cveuropeo.doc
- <Имя диска съемного носителя>:\lisp_success.doc
- <Имя диска съемного носителя>:\indogerman2010.pptx
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx
- <Имя диска съемного носителя>:\samieee_obiee_presentation.pptx
Самоудаляется.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- 'ge###tool.com':80
- 'ge###tool.com':443
- 'ip###ger.org':80
- 'ip###ger.org':443
- 'oc##.#ectigo.com':80
TCP
Другие
- 'ge###tool.com':443
- 'ip###ger.org':443
UDP
- DNS ASK ge###tool.com
- DNS ASK ge###tatool.com
- DNS ASK ip###ger.org
- DNS ASK oc##.#ectigo.com
Другое
Создает и запускает на исполнение
- '%APPDATA%\microsoft\windows\services.exe' -start
- '%APPDATA%\microsoft\windows\services.exe' -agent 0
- '%APPDATA%\microsoft\windows\services.exe' -agent 1
- '%APPDATA%\microsoft\windows\services.exe' -agent 2
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\~temp001.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\notepad.exe'
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet
- '%WINDIR%\syswow64\cmd.exe' /C %TEMP%\~temp001.bat
