Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Port 1122 TCP" dir=in action=allow protocol=TCP localport=
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Port 1122 UDP" dir=in action=allow protocol=UDP localport=
- '<SYSTEM32>\taskkill.exe' /f /im explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\d8a2.tmp\d8b3.bat
- nul
- %TEMP%\9k21jm10b.log
- C:\cat.hta
Удаляет следующие файлы
- %TEMP%\d8a2.tmp\d8b3.bat
Сетевая активность
UDP
- DNS ASK re#####r1.opendns.com
- DNS ASK 22#.###.67.208.in-addr.arpa
- DNS ASK my##.#pendns.com
- 'localhost':50447
- 'localhost':62867
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\D8A2.tmp\D8B3.bat <Полный путь к файлу>"' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\D8A2.tmp\D8B3.bat <Полный путь к файлу>"
- '<SYSTEM32>\ping.exe' localhost
- '<SYSTEM32>\nslookup.exe' myip.opendns.com resolver1.opendns.com
- '<SYSTEM32>\netsh.exe' wlan show profiles
- '<SYSTEM32>\ipconfig.exe'
- '<SYSTEM32>\find.exe' /i "IPv4"
- '<SYSTEM32>\wbem\wmic.exe' diskdrive get size
- '<SYSTEM32>\wbem\wmic.exe' cpu get name
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\timeout.exe' /t 1
- '%WINDIR%\syswow64\mshta.exe' "C:\cat.hta"
- '<SYSTEM32>\timeout.exe' /t 5
