Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Microsoft Update Service' = '"%APPDATA%\08e37410\05ced199.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\08e37410\lsass.exe' -p "%APPDATA%\08e37410" -c lv.tmp
- '%APPDATA%\08e37410\05ced199.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' -n 1 localhost
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\SelfDelete.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\08e37410\lsass.exe
- %TEMP%\yrwyopj
- %APPDATA%\08e37410\lv.tmp
- %APPDATA%\08e37410\logs\nginx.pid
- %APPDATA%\08e37410\mime.types
- %TEMP%\dyxmdid
- %TEMP%\aut1.tmp
- %APPDATA%\08e37410\05ced199.exe
- %TEMP%\aut2.tmp
- %TEMP%\SelfDelete.bat
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\yrwyopj
- %TEMP%\aut1.tmp
- %TEMP%\dyxmdid
Самоудаляется.
Сетевая активность:
Подключается к:
- 'sf##43.biz':80
TCP:
Запросы HTTP GET:
- sf##43.biz/update.php?id#########
UDP:
- DNS ASK sf##43.biz
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
