Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\userdll.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\AppToService_FUSClient] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '<SYSTEM32>\ROMFUSClient.exe' /tray
- '<SYSTEM32>\userdll.exe'
- '<SYSTEM32>\ROMServer.exe'
- '<DRIVERS>\lib.exe' /install "<SYSTEM32>\ROMServer.exe" /name:"FUSClient" /Directory:"<SYSTEM32>" /startup:a
- '<DRIVERS>\lib.exe' /sys "<SYSTEM32>\ROMServer.exe" /Name:"FUSClient" /Directory:"<SYSTEM32>" /startup:a
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' /pid=2804
- '<SYSTEM32>\net1.exe' -n 3 localhost
- '<SYSTEM32>\net1.exe' /pid=3804
- '<SYSTEM32>\net1.exe' /pid=3688
- '<SYSTEM32>\net1.exe' /pid=3216
- '<SYSTEM32>\reg.exe' add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit /t REG_SZ /d <SYSTEM32>\userinit.exe,<SYSTEM32>\userdll.exe /f
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\ping.exe' /pid=2912
- '<SYSTEM32>\reg.exe' import <SYSTEM32>\regedit.reg
- '%WINDIR%\regedit.exe' /pid=3036
- '<SYSTEM32>\net1.exe' import <SYSTEM32>\regedit.reg
- '<SYSTEM32>\ping.exe' /pid=2736
- '%WINDIR%\regedit.exe' /pid=2652
- '%WINDIR%\regedit.exe' /pid=368
- '<SYSTEM32>\ping.exe' start AppToservice_FUSClient
- '<SYSTEM32>\net1.exe' /s <SYSTEM32>\regedit.reg
- '<SYSTEM32>\reg.exe' /s <SYSTEM32>\regedit.reg
- '<SYSTEM32>\ping.exe' import <SYSTEM32>\regedit.reg
- '<SYSTEM32>\ping.exe' -n 3 localhost
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\Russian.lg
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\HookDrv.dll
- '<SYSTEM32>\ping.exe' -n 127.0.0.1
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\ROMServer.exe
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\English.lg
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\AledensoftIpcServer.dll
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\Install.bat" "
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\ROMwln.dll
- '<SYSTEM32>\attrib.exe' +h +s <SYSTEM32>\ROMFUSClient.exe
- '<SYSTEM32>\net.exe' stop wscsvc
- '<SYSTEM32>\sc.exe' config wscsvc start= disabled
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2.tmp\userdll.bat" "
- '<SYSTEM32>\net1.exe' stop wscsvc
- '<SYSTEM32>\net1.exe' start AppToService_FUSClient
- '%WINDIR%\regedit.exe' /s <SYSTEM32>\regedit.reg
- '<SYSTEM32>\reg.exe' import <SYSTEM32>\regedit.reg
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram \System32\ROMServer.exe "Apps" enable
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name= "App" dir=in action=allow program="<SYSTEM32>\ROMServer.exe" enable=yes
Внедряет код в
следующие системные процессы:
- %WINDIR%\regedit.exe
- <SYSTEM32>\ping.exe
- <SYSTEM32>\net1.exe
- <SYSTEM32>\reg.exe
- <SYSTEM32>\net.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\regedit.reg
- <SYSTEM32>\userdll.exe
- <DRIVERS>\C.sys
- <DRIVERS>\lib.exe
- <SYSTEM32>\HookDrv.dll
- <SYSTEM32>\Russian.lg
- <SYSTEM32>\ROMServer.exe
- <DRIVERS>\clien.sys
- <DRIVERS>\serv.sys
- <SYSTEM32>\decard.dll
- %TEMP%\2.tmp\userdll.bat
- <DRIVERS>\Russian.lg
- <DRIVERS>\lan.sys
- <DRIVERS>\English.lg
- <DRIVERS>\Drv.sys
- %TEMP%\1.tmp\HookDrv.dll
- %TEMP%\1.tmp\ROMFUSClient.exe
- %TEMP%\1.tmp\ROMServer.exe
- %TEMP%\1.tmp\explor.reg
- %TEMP%\1.tmp\Install.bat
- %TEMP%\1.tmp\apps.exe
- %TEMP%\1.tmp\English.lg
- %TEMP%\1.tmp\ROMwln.dll
- <SYSTEM32>\ROMFUSClient.exe
- <SYSTEM32>\ROMwln.dll
- <SYSTEM32>\English.lg
- <SYSTEM32>\AledensoftIpcServer.dll
- %TEMP%\1.tmp\Russian.lg
- %TEMP%\1.tmp\userdll.exe
- %TEMP%\1.tmp\AledensoftIpcServer.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\HookDrv.dll
- <SYSTEM32>\Russian.lg
- <SYSTEM32>\ROMServer.exe
- <SYSTEM32>\English.lg
- <SYSTEM32>\AledensoftIpcServer.dll
- <SYSTEM32>\ROMFUSClient.exe
- <SYSTEM32>\ROMwln.dll
Удаляет следующие файлы:
- %TEMP%\1.tmp\Russian.lg
- %TEMP%\1.tmp\ROMwln.dll
- %TEMP%\1.tmp\userdll.exe
- %TEMP%\1.tmp\Install.bat
- %TEMP%\1.tmp\AledensoftIpcServer.dll
- %TEMP%\1.tmp\ROMServer.exe
- %TEMP%\1.tmp\English.lg
- %TEMP%\1.tmp\apps.exe
- %TEMP%\1.tmp\explor.reg
- %TEMP%\1.tmp\ROMFUSClient.exe
- %TEMP%\1.tmp\HookDrv.dll
Сетевая активность:
Подключается к:
- 're####co.myvnc.com':1991
UDP:
- DNS ASK re####co.myvnc.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
