Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\] 'CSRSS' = '"%ALLUSERSPROFILE%\Drivers\csrss.exe"'
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\drivers\csrss.exe
- %TEMP%\4kpv6a~1\state.tmp
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\drivers\csrss.exe
Перемещает следующие файлы
- %TEMP%\4kpv6a~1\state.tmp в %TEMP%\4kpv6a~1\state
Сетевая активность
Подключается к
- 'localhost':49712
- '16#.#6.94.107':9001
- '45.#6.33.45':443
- '10#.#0.100.29':443
- '50.#.8.141':443
- '20#.#8.180.90':443
- '54.##.112.239':9001
- '19#.#8.81.140':443
- '19#.#89.96.148':443
- '17#.#54.31.125':443
- '12#.31.0.39':9101
- '51.##.65.160':9001
- '18#.#20.100.247':9100
- '46.##.207.35':639
- '62.##2.148.68':53
- '91.##1.160.6':9001
- '15#.#5.175.225':443
- '95.##1.136.23':443
Другое
Перезапускает анализируемый образец
