Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Control\Print\Monitors\RunDllExe] 'Driver' = '%WINDIR%\Logs\RunDllExe.dll'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Spooler] 'Start' = '00000002'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\logs\rundllexe.dll
Самоудаляется.
Сетевая активность
Подключается к
- 'ss#.#62-com.com':80
UDP
- DNS ASK ss#.#62-com.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\svchost.exe'
- '%WINDIR%\syswow64\windowspowershell\v1.0\powershell.exe' Start-Sleep -s 2;del "<Полный путь к файлу>"
