Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'ctl3d' = 'rundll32.exe ctl3d.dll,amos'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\ctl3d] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\ctl3d] 'ImagePath' = 'rundll32.exe <SYSTEM32>\ctl3d.dll,amos'
Создает следующие сервисы
- 'ctl3d' rundll32.exe <SYSTEM32>\ctl3d.dll,amos
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add portopening TCP 1648 messenger
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\23e87ec7.dll
- %WINDIR%\syswow64\ctl3d.dll
- %WINDIR%\syswow64\742e01dd.dll
- %WINDIR%\syswow64\40ce2e88.dll
- %TEMP%\a66053af.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' create ctl3d type= share start= auto DisplayName= "Ctl3D 3D Windows Controls" group= "Event Log" binPath= "rundll32.exe <SYSTEM32>\ctl3d.dll,amos"' (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' description ctl3d "Ctl3D 3D Windows Controls"' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\sc.exe' create ctl3d type= share start= auto DisplayName= "Ctl3D 3D Windows Controls" group= "Event Log" binPath= "rundll32.exe <SYSTEM32>\ctl3d.dll,amos"
- '%WINDIR%\syswow64\sc.exe' description ctl3d "Ctl3D 3D Windows Controls"
