Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows-Audio Driver' = '%ALLUSERSPROFILE%\wscntfy.exe'
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Windows-Network Component' = '%CommonProgramFiles%\lsmass.exe'
- [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{04cb9fa7-51ca-11ee-b2fe-806e6f6e6963}] 'StubPath' = '%ALLUSERSPROFILE%\wscntfy.exe -r'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\wscntfy.exe
- %CommonProgramFiles%\lsmass.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\wscntfy.exe
- %CommonProgramFiles%\lsmass.exe
Сетевая активность
Подключается к
- '<LOCALNET>.0.12':80
UDP
- DNS ASK ba##u.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\wscntfy.exe'
- '%CommonProgramFiles%\lsmass.exe'
Запускает на исполнение
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%ALLUSERSPROFILE%\wscntfy.exe"
