Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SndManager' = '%WINDIR%\soundman.exe'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram %WINDIR%\soundman.exe System2 ENABLE
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram %WINDIR%\pscp.exe System ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\winux\13.27.06.27.18.41.34.png
- <SYSTEM32>\winux\13.27.06.27.18.41.39.png
- <SYSTEM32>\winux\13.27.06.27.18.41.29.png
- <SYSTEM32>\winux\13.27.06.27.18.41.19.png
- <SYSTEM32>\winux\13.27.06.27.18.41.24.png
- <SYSTEM32>\winux\13.27.06.27.18.41.45.png
- <SYSTEM32>\winux\13.27.06.27.18.42.04.png
- <SYSTEM32>\winux\13.27.06.27.18.42.09.png
- <SYSTEM32>\winux\13.27.06.27.18.41.59.png
- <SYSTEM32>\winux\13.27.06.27.18.41.52.png
- <SYSTEM32>\winux\13.27.06.27.18.41.55.png
- <SYSTEM32>\winux\13.27.06.27.18.41.14.png
- <SYSTEM32>\winux\13.27.06.27.18.40.29.png
- <SYSTEM32>\winux\13.27.06.27.18.40.35.png
- <SYSTEM32>\winux\13.27.06.27.18.40.26.png
- <SYSTEM32>\winux\data.txt
- <SYSTEM32>\winux\13.27.06.27.18.40.22.png
- <SYSTEM32>\winux\13.27.06.27.18.40.39.png
- <SYSTEM32>\winux\13.27.06.27.18.41.04.png
- <SYSTEM32>\winux\13.27.06.27.18.41.09.png
- <SYSTEM32>\winux\13.27.06.27.18.41.03.png
- <SYSTEM32>\winux\13.27.06.27.18.40.44.png
- <SYSTEM32>\winux\13.27.06.27.18.40.56.png
Сетевая активность:
Подключается к:
- 'localhost':1036
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
