Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'HKLM' = '%WINDIR%\oficce\windos.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'HKCU' = '%WINDIR%\oficce\windos.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Active Setup\Installed Components\{5460C4DF-B266-909E-CB58-E32B79832EB2}] 'StubPath' = '%WINDIR%\oficce\windos.exe restart'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- C:\~tmp134\dbasic.dll
- C:\~tmp134\dmemopen.dll
- C:\~tmp134\dresmanager.dll
- %APPDATA%\microsoft\windows\zdcizysed.cfg
- %WINDIR%\oficce\windos.exe
- %APPDATA%\microsoft\windows\zdcizysed.dat
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\microsoft\windows\zdcizysed.cfg
- %WINDIR%\oficce\windos.exe
- %APPDATA%\microsoft\windows\zdcizysed.dat
Удаляет следующие файлы
- C:\~tmp134\dbasic.dll
- C:\~tmp134\dmemopen.dll
Сетевая активность
Подключается к
- 'wi#####rea2016.ddns.net':2090
UDP
- DNS ASK wi#####rea2016.ddns.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c rmdir C:\~tmp134 /S /Q' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c rmdir C:\~tmp134 /S /Q
- '%WINDIR%\syswow64\svchost.exe'
