Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\] 'CSRSS' = '"%ALLUSERSPROFILE%\Drivers\csrss.exe"'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\drivers\csrss.exe
- %TEMP%\4kpv6a~1\state.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\drivers\csrss.exe
Перемещает следующие файлы
- %TEMP%\4kpv6a~1\state.tmp в %TEMP%\4kpv6a~1\state
Сетевая активность
Подключается к
- 'localhost':49711
- '80.##.172.162':443
- '18#.#20.101.20':10020
- '19#.#6.38.33':443
- '10#.#49.139.42':8080
- '20#.#3.164.118':443
- '18#.#20.101.1':30001
- '13#.#88.40.189':443
- '14#.#2.88.67':9001
- '17#.#7.170.13':9001
- '87.#48.7.41':9003
- '86.#9.21.38':443
- '45.##1.167.10':8443
- '45.#6.33.45':443
Другое
Перезапускает анализируемый образец
