Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\addinprocess32.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\microsoft.net\framework64\v4.0.30319\dfsvc.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regasm.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\setupcache\v4.7.02558\setuputility.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\ilasm.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\mscorsvw.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\smsvchost.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\msbuild.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_regsql.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\comsvcconfig.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_wp.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\addinutil.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regtlibv12.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_state.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\edmgen.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\installutil.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\wsatconfig.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\jsc.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_regiis.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_compiler.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\regsvcs.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\csc.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\applaunch.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\ngen.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\aspnet_regbrowsers.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\datasvcutil.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\caspol.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\addinprocess.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\cvtres.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\servicemodelreg.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\microsoft.workflow.compiler.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\vbc.exe
- %WINDIR%\microsoft.net\framework64\v4.0.30319\setupcache\v4.7.02558\setup.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Martin Prikryl\WinSCP 2\Sessions]
Читает файлы, отвечающие за хранение паролей сторонними программами
- %HOMEPATH%\desktop\february_catalogue__2015.doc
- %HOMEPATH%\desktop\fi51.doc
- %HOMEPATH%\desktop\hadac_newsletter_july_2010_final.docx
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\dusso4it.yda\userinfo.txt
- %TEMP%\dusso4it.yda\communication\telegram\userdata\settings0
- %TEMP%\dusso4it.yda\communication\telegram\userdata\usertag
- %TEMP%\dusso4it.yda\sensitivefiles\february_catalogue__2015.doc
- %TEMP%\dusso4it.yda\sensitivefiles\fi51.doc
- %TEMP%\dusso4it.yda\sensitivefiles\hadac_newsletter_july_2010_final.docx
- %TEMP%\2f6f2c51-8ac9-427d-9b1f-0e255ae9df95.zip
Удаляет следующие файлы
- %TEMP%\dusso4it.yda\communication\telegram\userdata\settings0
- %TEMP%\dusso4it.yda\communication\telegram\userdata\usertag
- %TEMP%\dusso4it.yda\sensitivefiles\february_catalogue__2015.doc
- %TEMP%\dusso4it.yda\sensitivefiles\fi51.doc
- %TEMP%\dusso4it.yda\sensitivefiles\hadac_newsletter_july_2010_final.docx
- %TEMP%\dusso4it.yda\userinfo.txt
Сетевая активность
Подключается к
- 'ip##fo.io':443
- 'microsoft.com':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
Другие
- 'ip##fo.io':443
UDP
- DNS ASK ip##fo.io
- DNS ASK microsoft.com
Другое
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework64\v4.0.30319\addinprocess32.exe'
