Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\WindowsÇý¶¯ÏµÍ³] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\WindowsÇý¶¯ÏµÍ³] 'ImagePath' = '<SYSTEM32>\svchost.exe -k "WindowsÇý¶¯ÏµÍ³"'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\WindowsÇý¶¯ÏµÍ³\Parameters] 'ServiceDll' = '<SYSTEM32>\1215528.jpg'
Создает следующие сервисы
- 'WindowsÇý¶¯ÏµÍ³' <SYSTEM32>\svchost.exe -k "WindowsÇý¶¯ÏµÍ³"
Вредоносные функции
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Regmonclass', WindowName: ''
- ClassName: 'Filemonclass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\1215528.jpg
- %WINDIR%\syswow64\ini.ini
- %WINDIR%\syswow64\windowsçý¶¯ïµГВі.exe
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\1216480.bak
Сетевая активность
Подключается к
- 'nb##.f3322.net':4433
UDP
- DNS ASK xu###o999.com
- DNS ASK nb##.f3322.net
Другое
Ищет следующие окна
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\windowsçý¶¯ïµГВі.exe' "<SYSTEM32>\1215528.jpg",MainInstall
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe' -k "WindowsÇý¶¯ÏµÍ³"
