Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Classes\BlackBit\shell\open\command] '' = '%ALLUSERSPROFILE%\5cv2ji1b.exe "%l" '
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\winlogon.exe
- %APPDATA%\microsoft\windows\start menu\programs\startup\wvtymcow.bat
- <SYSTEM32>\tasks\blackbit
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\cpriv.blackbit
- <Имя диска съемного носителя>:\elvisimp.rdf
- <Имя диска съемного носителя>:\taxus_baccata.rdf
- <Имя диска съемного носителя>:\hypothyroidism_slides.pptx
- <Имя диска съемного носителя>:\roozenedowebinar.pptx
- <Имя диска съемного носителя>:\iso27k_isms_implementation_and_certification_process_overview_v2.pptx
- <Имя диска съемного носителя>:\waterresourcesag.pptx
- <Имя диска съемного носителя>:\gruenspecht_02172016.pptx
- <Имя диска съемного носителя>:\middaugh_keynote.pptx
- <Имя диска съемного носителя>:\stoc13_ml_quoc_le.pptx
- <Имя диска съемного носителя>:\metac.ppt
- <Имя диска съемного носителя>:\sacs_presentation_sacs_qep_improving_rt_education_final.ppt
- <Имя диска съемного носителя>:\20140114.rdf
- <Имя диска съемного носителя>:\writingcompletesarnarrative_1103.ppt
- <Имя диска съемного носителя>:\cbz.png
- <Имя диска съемного носителя>:\arrow-down.png
- <Имя диска съемного носителя>:\breakpoint.png
- <Имя диска съемного носителя>:\dissolveanother.png
- <Имя диска съемного носителя>:\calibre.png
- <Имя диска съемного носителя>:\block.png
- <Имя диска съемного носителя>:\background.png
- <Имя диска съемного носителя>:\tunpersonalca1.pem
- <Имя диска съемного носителя>:\delongcacert.pem
- <Имя диска съемного носителя>:\lom602.pdf
- <Имя диска съемного носителя>:\2015-02-worms-nanoparticle-toxicity.pdf
- <Имя диска съемного носителя>:\accountsreceivable.ppt
- <Имя диска съемного носителя>:\removedtitles_records.xls
- <Имя диска съемного носителя>:\calculatorworksheet.zip
- <Имя диска съемного носителя>:\schema.rdf
- <Имя диска съемного носителя>:\1sm_price.zip
- <Имя диска съемного носителя>:\removedtitles_records.zip
- <Имя диска съемного носителя>:\contractualdeadlines.zip
- <Имя диска съемного носителя>:\fiche_inscription_2015.zip
- <Имя диска съемного носителя>:\national_autism_preparation_programs.xlsx
- <Имя диска съемного носителя>:\al.xlsx
- <Имя диска съемного носителя>:\2013_finalsummaryforweb.xlsx
- <Имя диска съемного носителя>:\trtf_matrix2012_oct.xlsx
- <Имя диска съемного носителя>:\applicant.xlsx
- <Имя диска съемного носителя>:\disclosuredetails.xlsx
- <Имя диска съемного носителя>:\highly_cited_2001.xlsx
- <Имя диска съемного носителя>:\ff_ot_user_guide.pdf
- <Имя диска съемного носителя>:\cee_mmsprogram_summary_public.xlsx
- <Имя диска съемного носителя>:\fiche_inscription_2015.xls
- <Имя диска съемного носителя>:\price030215.xls
- <Имя диска съемного носителя>:\productos.xls
- <Имя диска съемного носителя>:\1sm_price.xls
- <Имя диска съемного носителя>:\babyboymaintoscenesbackground_pal.wmv
- <Имя диска съемного носителя>:\flower_trans_matte.wmv
- <Имя диска съемного носителя>:\router_manual.rtf
- <Имя диска съемного носителя>:\military_callsigns_0311.rtf
- <Имя диска съемного носителя>:\fungalnameauthors.rtf
- <Имя диска съемного носителя>:\pubnet_855.rtf
- <Имя диска съемного носителя>:\digest.rdf
- <Имя диска съемного носителя>:\sioc.rdf
- <Имя диска съемного носителя>:\skos.rdf
- <Имя диска съемного носителя>:\10thingscondoms.pdf
- <Имя диска съемного носителя>:\sdszfo.docx
- <Имя диска съемного носителя>:\issi2013_template_for_posters.docx
- <Имя диска съемного носителя>:\nwfieldnotes1966.docx
- <Имя диска съемного носителя>:\glidescope_review_rev_010.docx
- <Имя диска съемного носителя>:\fi51.doc
- <Имя диска съемного носителя>:\february_catalogue__2015.doc
- <Имя диска съемного носителя>:\cveuropeo.doc
- <Имя диска съемного носителя>:\ovp25012015.doc
- <Имя диска съемного носителя>:\508softwareandos.doc
- <Имя диска съемного носителя>:\sdksampleprivdeveloper.cer
- <Имя диска съемного носителя>:\contoso.cer
- <Имя диска съемного носителя>:\sdkfailsafeemulator.cer
- <Имя диска съемного носителя>:\file_p_00000000_1371597592.docx
- <Имя диска съемного носителя>:\testcertificate.cer
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\dashborder_120.bmp
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\split.avi
- <Имя диска съемного носителя>:\join.avi
- <Имя диска съемного носителя>:\correct.avi
- <Имя диска съемного носителя>:\restore-my-files.txt
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\1189.jpeg
- <Имя диска съемного носителя>:\video.mp4
- <Имя диска съемного носителя>:\trivial-merge.htm
- <Имя диска съемного носителя>:\d0068197bb5a41fea16a220c45390606.mp4
- <Имя диска съемного носителя>:\51.mp4
- <Имя диска съемного носителя>:\scan.mov
- <Имя диска съемного носителя>:\firefly1.mov
- <Имя диска съемного носителя>:\210252809.jpg
- <Имя диска съемного носителя>:\3.jpg
- <Имя диска съемного носителя>:\13.jpg
- <Имя диска съемного носителя>:\region-north-karelia.jpg
- <Имя диска съемного носителя>:\parnas_01.jpeg
- <Имя диска съемного носителя>:\4f0bf7ff71f28.jpeg
- <Имя диска съемного носителя>:\region-north-karelia.jpeg
- <Имя диска съемного носителя>:\video_1.mp4
- <Имя диска съемного носителя>:\2.jpeg
- <Имя диска съемного носителя>:\howto-index.html
- <Имя диска съемного носителя>:\trivial-merge.html
- <Имя диска съемного носителя>:\iisstart.html
- <Имя диска съемного носителя>:\api-hashmap.html
- <Имя диска съемного носителя>:\alert.html
- <Имя диска съемного носителя>:\ituneshelpunavailable.html
- <Имя диска съемного носителя>:\about.htm
- <Имя диска съемного носителя>:\advice_process.htm
- <Имя диска съемного носителя>:\iisstart.htm
- <Имя диска съемного носителя>:\tree_view.htm
- <Имя диска съемного носителя>:\garden.htm
- <Имя диска съемного носителя>:\adhd_and_obesity.docx
- <Имя диска съемного носителя>:\productos.zip
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
удаляет теневые копии разделов.
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall set currentprofile state off
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\winlogon.exe
- C:\users\public\libraries\restore-my-files.txt
- C:\users\public\downloads\restore-my-files.txt
- C:\users\public\documents\restore-my-files.txt
- C:\users\public\desktop\restore-my-files.txt
- C:\users\default\restore-my-files.txt
- C:\restore-my-files.txt
- D:\restore-my-files.txt
- %ALLUSERSPROFILE%\cpriv.blackbit
- %HOMEPATH%\music\cpriv.blackbit
- %HOMEPATH%\videos\cpriv.blackbit
- %HOMEPATH%\pictures\cpriv.blackbit
- %HOMEPATH%\documents\cpriv.blackbit
- %HOMEPATH%\desktop\cpriv.blackbit
- C:\users\public\music\restore-my-files.txt
- %APPDATA%\microsoft\windows\recent\cpriv.blackbit
- D:\cpriv.blackbit
- C:\cpriv.blackbit
- %ALLUSERSPROFILE%\info.blackbit
- %ALLUSERSPROFILE%\5cv2ji1b.exe
- %TEMP%\res1989.tmp
- %ALLUSERSPROFILE%\csc1988.tmp
- %TEMP%\tk2wgfgy.out
- %TEMP%\tk2wgfgy.cmdline
- %TEMP%\tk2wgfgy.0.cs
- %TEMP%\2hjwzgj0.ico
- %WINDIR%\winlogon.exe
- %ALLUSERSPROFILE%\microsoft\windows\start menu\programs\startup\winlogon.exe
- %ALLUSERSPROFILE%\winlogon.exe
- %HOMEPATH%\favorites\cpriv.blackbit
- C:\users\public\music\sample music\restore-my-files.txt
Присваивает атрибут 'скрытый' для следующих файлов
- %APPDATA%\winlogon.exe
- %ALLUSERSPROFILE%\winlogon.exe
- %WINDIR%\winlogon.exe
- %ALLUSERSPROFILE%\5cv2ji1b.exe
Удаляет следующие файлы
- %TEMP%\res1989.tmp
- %ALLUSERSPROFILE%\csc1988.tmp
- %TEMP%\tk2wgfgy.0.cs
- %TEMP%\tk2wgfgy.out
- %TEMP%\tk2wgfgy.cmdline
Изменяет следующие файлы
- D:\install.log
- <Имя диска съемного носителя>:\contosoroot.cer
- <Имя диска съемного носителя>:\contoso_1.cer
- <Имя диска съемного носителя>:\dashborder_120.bmp
- C:\users\public\libraries\recordedtv.library-ms
- <Имя диска съемного носителя>:\dialmap.bmp
- <Имя диска съемного носителя>:\toolbar.bmp
- <Имя диска съемного носителя>:\dashborder_96.bmp
- C:\users\public\libraries\desktop.ini
- C:\users\public\downloads\desktop.ini
- C:\users\public\documents\desktop.ini
- C:\users\public\desktop\steam.lnk
- C:\users\public\desktop\opera.lnk
- C:\users\public\desktop\mozilla thunderbird.lnk
- C:\users\public\desktop\firefox.lnk
- C:\users\public\desktop\desktop.ini
- C:\users\public\desktop\acrobat reader dc.lnk
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tmcontainer00000000000000000002.regtrans-ms
- <Имя диска съемного носителя>:\dashborder_144.bmp
- <Имя диска съемного носителя>:\split.avi
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tmcontainer00000000000000000001.regtrans-ms
- <Имя диска съемного носителя>:\join.avi
- C:\users\default\ntuser.dat{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.tm.blf
- <Имя диска съемного носителя>:\correct.avi
- C:\users\default\ntuser.dat.log2
- C:\users\default\ntuser.dat.log1
- C:\users\default\ntuser.dat.log
- C:\users\default\ntuser.dat
- <Имя диска съемного носителя>:\pmd.cer
- <Имя диска съемного носителя>:\testcertificate.cer
Изменяет множество файлов.
Изменяет множество файлов пользовательских данных (Trojan.Encoder).
Сетевая активность
Подключается к
- '<LOCALNET>.2.1':445
- '<LOCALNET>.2.1':139
- '62.##3.61.53':80
TCP
Запросы HTTP POST
- http://62.##3.61.53/api/index.php
UDP
- 'localhost':58150
- 'localhost':57599
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\tk2wgfgy.cmdline"' (со скрытым окном)
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1989.tmp" "%ALLUSERSPROFILE%\CSC1988.tmp"' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C netsh advfirewall set currentprofile state off' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /C netsh firewall set opmode mode=disable' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /C schtasks /CREATE /SC ONLOGON /TN BlackBit /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /SC ONLOGON /TN BlackBit /TR %APPDATA%\winlogon.exe /RU SYSTEM /RL HIGHEST /F
- '%WINDIR%\microsoft.net\framework\v4.0.30319\csc.exe' /noconfig /fullpaths @"%TEMP%\tk2wgfgy.cmdline"
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES1989.tmp" "%ALLUSERSPROFILE%\CSC1988.tmp"
- '%WINDIR%\syswow64\cmd.exe' /C vssadmin delete shadows /all /quiet
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin DELETE SYSTEMSTATEBACKUP
- '%WINDIR%\syswow64\cmd.exe' /C wmic shadowcopy delete
- '%WINDIR%\syswow64\cmd.exe' /C wbadmin delete catalog -quiet
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} bootstatuspolicy ignoreallfailures
- '%WINDIR%\syswow64\cmd.exe' /C bcdedit /set {default} recoveryenabled no
- '%WINDIR%\syswow64\cmd.exe' /C netsh advfirewall set currentprofile state off
- '%WINDIR%\syswow64\cmd.exe' /C netsh firewall set opmode mode=disable
