Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SonyAgent' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wermgr.exe' "-outproc" "852" "4020"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\OutofProcReport1071609.txt
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_7.6.7600.256_d2caf64b7dbca2d781154d2562964c262846251_cab_0db85b87\Report.wer
- %WINDIR%\SoftwareDistribution\DataStore\Logs\tmp.edb
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\NonCritical_80072f78_805ff6e6daf5fedbb13daf2b1d56b5cbd7ea195_cab_0bd453ca\client_manifest.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Удаляет следующие файлы:
- %WINDIR%\Temp\OutofProcReport1071609.txt
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'download.windowsupdate.com':80
- 'localhost':49213
- 'localhost':49209
- 'localhost':49191
- '12#.#99.144.21':80
- '20#.#0.236.37':80
- 'localhost':49194
- 'localhost':49226
- 'localhost':49223
- 'localhost':49229
- '46.##8.127.237':80
- 'localhost':49217
- '59.#7.88.94':80
- '58.##7.158.90':80
- 'localhost':49220
- 'localhost':49167
- '21#.8.43.38':80
- '10#.#62.30.38':80
- 'localhost':49170
- '46.##8.230.106':80
- 'localhost':49158
- 'localhost':49164
- 'localhost':49161
- '46.##9.219.17':80
- 'localhost':49182
- 'localhost':49188
- 'localhost':49185
- 'localhost':49176
- 'localhost':49173
- 'localhost':49179
- '78.##9.153.169':80
TCP:
Запросы HTTP GET:
- 20#.#6.232.182/fwlink/?Li######################################################################################################
UDP:
- DNS ASK www.up####.microsoft.com
- DNS ASK go.###rosoft.com
- DNS ASK download.windowsupdate.com
- DNS ASK do#####d.microsoft.com
