Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'safe360' = '%CommonProgramFiles%\sfbsbvy\coiome.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\sfbsbvy\coiome.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete IE_WinserverName
- '<SYSTEM32>\sc.exe' stop IE_WinserverName
- '<SYSTEM32>\sc.exe' delete LYTC
- '<SYSTEM32>\sc.exe' stop HidServ
- '<SYSTEM32>\cacls.exe' "%CommonProgramFiles%\Microsoft Shared\MSInfo" /e /p everyone:n
- '<SYSTEM32>\cacls.exe' "%ALLUSERSPROFILE%\Application Data\Storm\update" /e /p everyone:n
- '<SYSTEM32>\sc.exe' delete HidServ
- '<SYSTEM32>\sc.exe' delete Messenger
- '<SYSTEM32>\sc.exe' delete JavaServe
- '<SYSTEM32>\taskkill.exe' /im coiome.exe /f
- '<SYSTEM32>\mshta.exe' "%PROGRAM_FILES%\JOD.hta"
- '<SYSTEM32>\taskkill.exe' /im iejore.exe /f
- '<SYSTEM32>\sc.exe' stop Messenger
- '<SYSTEM32>\sc.exe' stop LYTC
- '<SYSTEM32>\taskkill.exe' /im conime.exe /f
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\2345НшЦ·µјєЅ.url
- %CommonProgramFiles%\sfbsbvy\coiome.exe
- %PROGRAM_FILES%\JOD.hta
Удаляет следующие файлы:
- %PROGRAM_FILES%\JOD.hta
Самоудаляется.
Сетевая активность:
Подключается к:
- 'a1#.##uisumuli.com':53
UDP:
- DNS ASK a1#.##uisumuli.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
