Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinTest.exe' = '%ALLUSERSPROFILE%\WinTest.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'winservc.exe' = '%ALLUSERSPROFILE%\winservc.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'UDP Subsystem' = '%ProgramFiles(x86)%\UDP Subsystem\udpss.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\udp subsystem
- <SYSTEM32>\tasks\udp subsystem task
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\wintest.exe
- %TEMP%\lime crypter.exe
- %TEMP%\protectd.exe
- %TEMP%\cortansrvc.exe
- %TEMP%\update ce_original.exe
- %TEMP%\lime-crypter.exe
- %TEMP%\lime.exe
- %ALLUSERSPROFILE%\winservc.exe
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\run.dat
- %ProgramFiles(x86)%\udp subsystem\udpss.exe
- %TEMP%\tmp1064.tmp
- %APPDATA%\36d1130a-ac2e-44f7-9dc1-e424fbcbe0ee\task.dat
- %TEMP%\tmp1aa2.tmp
Удаляет следующие файлы
- %TEMP%\tmp1064.tmp
- %TEMP%\tmp1aa2.tmp
Сетевая активность
Подключается к
- 'ha####lol.ddns.net':4441
UDP
- DNS ASK ha####lol.ddns.net
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\wintest.exe'
- '%TEMP%\protectd.exe'
- '%TEMP%\lime crypter.exe'
- '%TEMP%\cortansrvc.exe'
- '%TEMP%\update ce_original.exe'
- '%TEMP%\lime.exe'
- '%TEMP%\lime-crypter.exe'
- '%ALLUSERSPROFILE%\winservc.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "UDP Subsystem" /xml "%TEMP%\tmp1064.tmp"
- '%WINDIR%\syswow64\schtasks.exe' /create /f /tn "UDP Subsystem Task" /xml "%TEMP%\tmp1AA2.tmp"
