Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Michael Gillespie' = '%ALLUSERSPROFILE%\winlogon.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Michael Gillespie' = '%WINDIR%\winlogon.exe'
- [<HKLM>\Software\Classes\Loki\shell\open\command] '' = '%ALLUSERSPROFILE%\2zh1capb.exe "%l" '
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\winlogon.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\wvtymcow.bat
- <SYSTEM32>\tasks\loki
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\cpriv.loki
- <Имя диска съемного носителя>:\restore-my-files.txt
- <Имя диска съемного носителя>:\delete.avi
- <Имя диска съемного носителя>:\split.avi
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\applicantform_en.doc
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
удаляет теневые копии разделов.
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\d.dll
- C:\users\public\libraries\restore-my-files.txt
- C:\users\public\downloads\restore-my-files.txt
- C:\users\public\documents\restore-my-files.txt
- C:\users\public\desktop\restore-my-files.txt
- C:\users\default\restore-my-files.txt
- D:\restore-my-files.txt
- C:\restore-my-files.txt
- %ALLUSERSPROFILE%\info.loki
- %ALLUSERSPROFILE%\2zh1capb.exe
- %TEMP%\resa9f5.tmp
- %ALLUSERSPROFILE%\csc207c83234554d4ba389c48e5f499a1.tmp
- %TEMP%\hn0nj2cy\hn0nj2cy.out
- %TEMP%\hn0nj2cy\hn0nj2cy.cmdline
- %TEMP%\hn0nj2cy\hn0nj2cy.0.cs
- C:\users\public\music\restore-my-files.txt
- %TEMP%\bpvq1yo0.ico
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\winlogon.exe
- %ALLUSERSPROFILE%\winlogon.exe
- %APPDATA%\winlogon.exe
- %ALLUSERSPROFILE%\cpriv.loki
- %HOMEPATH%\music\cpriv.loki
- %HOMEPATH%\videos\cpriv.loki
- %HOMEPATH%\pictures\cpriv.loki
- %HOMEPATH%\documents\cpriv.loki
- %HOMEPATH%\desktop\cpriv.loki
- %APPDATA%\microsoft\windows\recent\cpriv.loki
- %HOMEPATH%\favorites\cpriv.loki
- D:\cpriv.loki
- C:\cpriv.loki
- <Текущая директория>\logs.txt
- %WINDIR%\winlogon.exe
- C:\users\public\music\sample music\restore-my-files.txt
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\d.dll
- %APPDATA%\winlogon.exe
- %ALLUSERSPROFILE%\winlogon.exe
- %WINDIR%\winlogon.exe
- %ALLUSERSPROFILE%\2zh1capb.exe
Удаляет следующие файлы
- %TEMP%\resa9f5.tmp
- %ALLUSERSPROFILE%\csc207c83234554d4ba389c48e5f499a1.tmp
- %TEMP%\hn0nj2cy\hn0nj2cy.cmdline
- %TEMP%\hn0nj2cy\hn0nj2cy.0.cs
- %TEMP%\hn0nj2cy\hn0nj2cy.out
Изменяет следующие файлы
- <Имя диска съемного носителя>:\delete.avi
- C:\users\public\desktop\opera.lnk
- C:\users\public\desktop\mozilla thunderbird.lnk
- C:\users\public\desktop\mirc.lnk
- C:\users\public\desktop\google chrome.lnk
- C:\users\public\desktop\firefox.lnk
- C:\users\public\desktop\desktop.ini
- C:\users\public\desktop\acrobat reader dc.lnk
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tmcontainer00000000000000000002.regtrans-ms
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tmcontainer00000000000000000001.regtrans-ms
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tm.blf
- C:\users\default\ntuser.dat.log2
- C:\users\default\ntuser.dat.log1
- C:\users\default\ntuser.dat.log
- <Имя диска съемного носителя>:\applicantform_en.doc
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\tileimage.bmp
- <Имя диска съемного носителя>:\dial.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\dashborder_192.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\split.avi
- D:\install.log
- C:\users\public\desktop\steam.lnk
- C:\users\public\desktop\winamp.lnk
Изменяет множество файлов.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- '<LOCALNET>.33.1':445
- '<LOCALNET>.33.1':139
- '19#.#26.139.3':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /CREATE /SC ONLOGON /TN Loki /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\hn0nj2cy\hn0nj2cy.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA9F5.tmp" "%ALLUSERSPROFILE%\CSC207C83234554D4BA389C48E5F499A1.TMP"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C netsh advfirewall set currentprofile state off' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C netsh firewall set opmode mode=disable' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /CREATE /SC ONLOGON /TN Loki /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /SC ONLOGON /TN Loki /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\hn0nj2cy\hn0nj2cy.cmdline"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RESA9F5.tmp" "%ALLUSERSPROFILE%\CSC207C83234554D4BA389C48E5F499A1.TMP"
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no
- '%WINDIR%\syswow64\cmd.exe' /C netsh advfirewall set currentprofile state off
- '%WINDIR%\syswow64\cmd.exe' /C netsh firewall set opmode mode=disable
- '%WINDIR%\syswow64\netsh.exe' advfirewall set currentprofile state off
