Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SKYNETixbrqlso] 'start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\dxrxyciqxylqitnt] 'start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nse3.tmp\10090_694bdef867e1fd67f51b5bf6f90b609b.exe'
- '%TEMP%\nse3.tmp\autorun.exe'
Запускает на исполнение:
- '<SYSTEM32>\spoolsv.exe'
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\xylpcwxbvf.tmp
- <DRIVERS>\dxrxyciqxylqitnt.sys
- <DRIVERS>\SKYNETyuoyiihx.sys
- %TEMP%\goientisev.tmp
- %TEMP%\nsz2.tmp
- %TEMP%\nse3.tmp\autorun.exe
- %TEMP%\nse3.tmp\10090_694bdef867e1fd67f51b5bf6f90b609b.exe
Удаляет следующие файлы:
- %TEMP%\nse3.tmp\autorun.exe
- %TEMP%\nse3.tmp\10090_694bdef867e1fd67f51b5bf6f90b609b.exe
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
