Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\ftp.exe' -s:c:\systn\2.txt
- '<SYSTEM32>\netsh.exe' firewall set opmode enable
- '<SYSTEM32>\msg.exe' *
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\2.bat""
- '<SYSTEM32>\mode.com' 20,1
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
Изменения в файловой системе:
Создает следующие файлы:
- C:\systn\7777.txt
- C:\systn\2.txt
- C:\ok.txt
- %TEMP%\1.tmp\2.bat
- C:\systn\2222.txt
- C:\systn\6666.txt
Удаляет следующие файлы:
- C:\systn\7777.txt
- C:\ok.txt
- %TEMP%\1.tmp\2.bat
- C:\systn\2.txt
- C:\systn\2222.txt
- C:\systn\6666.txt
Сетевая активность:
Подключается к:
- 'ma#####r11.net76.net':21
- 'localhost':1038
UDP:
- DNS ASK ma#####r11.net76.net
