Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\.Net CLRX19] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\.Net CLRX19] 'ImagePath' = '<SYSTEM32>\svchost.exe -k ".Net CLRX19"'
- [<HKLM>\SYSTEM\CurrentControlSet\Services\.Net CLRX19\Parameters] 'ServiceDll' = '<SYSTEM32>\15195a.dll'
- [<HKLM>\System\CurrentControlSet\Services\wTr24UEs] 'ImagePath' = '%WINDIR%\wTr24UEs.dat'
Создает следующие сервисы
- '.Net CLRX19' <SYSTEM32>\svchost.exe -k ".Net CLRX19"
- 'wTr24UEs' %WINDIR%\wTr24UEs.dat
Изменения в файловой системе
Создает следующие файлы
- C:\capp.dll
- %WINDIR%\nt.dll
- %WINDIR%\nt.exe
- %WINDIR%\syswow64\15195a.dll
- %WINDIR%\wtr24ues.dat
- %WINDIR%\temp\udd24bf.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd24bf.tmp
- %WINDIR%\wtr24ues.dat
- %WINDIR%\nt.exe
Перемещает следующие файлы
- C:\capp.dll в %TEMP%\1382636\....\temporaryfile
Самоперемещается
- из <Полный путь к файлу> в %TEMP%\1383260\....\temporaryfile
Сетевая активность
Подключается к
- '23#####222.imwork.net':57714
TCP
Другие
- '23#####222.imwork.net':57714
UDP
- DNS ASK 23#####222.imwork.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'Microsoft Internet Explorer'
Создает и запускает на исполнение
- '%WINDIR%\nt.exe'
- '%WINDIR%\syswow64\cmd.exe' /c del "%WINDIR%\nt.exe" > nul' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' C:\Capp.dll,Г–ВґГђГђВєВЇГЉГЅ
- '%WINDIR%\syswow64\svchost.exe' -k ".Net CLRX19"
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\15195a.dll, Launch
- '%WINDIR%\syswow64\cmd.exe' /c del "%WINDIR%\nt.exe" > nul
