Техническая информация
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Межсетевой экран (Брандмауэр Windows)
удаляет теневые копии разделов.
Создает и запускает на исполнение (эксплоит)
- '%TEMP%\fv482.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop MpsSvc
Запускает на исполнение (эксплоит)
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 1532
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\fv482.exe
- %TEMP%\864417.cvr
Удаляет следующие файлы
- %TEMP%\fv482.exe
Сетевая активность
UDP
- DNS ASK wo###hedron.com
- DNS ASK wa####frightons.ru
- DNS ASK sa###rebted.ru
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c net stop MpsSvc' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c sc config MpsSvc start= disabled' (со скрытым окном)
- '%WINDIR%\syswow64\vssadmin.exe' delete shadows /all /quiet' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\explorer.exe'
- '%WINDIR%\syswow64\cmd.exe' /c net stop MpsSvc
- '%WINDIR%\syswow64\cmd.exe' /c sc config MpsSvc start= disabled
- '%WINDIR%\syswow64\sc.exe' config MpsSvc start= disabled
- '%WINDIR%\syswow64\net1.exe' stop MpsSvc
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -nohome
