Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\] 'CSRSS' = '"%ALLUSERSPROFILE%\Drivers\csrss.exe"'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\drivers\csrss.exe
- %TEMP%\4kpv6a~1\state.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\drivers\csrss.exe
Перемещает следующие файлы
- %TEMP%\4kpv6a~1\state.tmp в %TEMP%\4kpv6a~1\state
Сетевая активность
Подключается к
- 'localhost':49708
- '91.##1.160.6':9001
- '85.##.213.211':80
- '62.##6.85.110':34049
- '20#.#3.164.118':443
- '19#.#40.117.58':993
- '17#.#5.193.9':80
- '17#.#3.183.251':443
- '12#.31.0.39':9101
- '21#.#58.31.231':22711
- '18#.#05.220.24':9001
- '18#.#20.101.205':10205
- '17#.#54.31.125':443
- '45.#6.33.45':443
Другое
Перезапускает анализируемый образец
