Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' stop WSCSVC
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode disable
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\win32.exe
- %TEMP%\ixp000.tmp\copy.exe
- %TEMP%\copy.bat
- %TEMP%\ixp001.tmp\explorer.exe
- %TEMP%\ixp001.tmp\admdll.dll
- %TEMP%\ixp001.tmp\df.exe
- %TEMP%\disable fire.bat
- %TEMP%\exef881.tmp
Удаляет следующие файлы
- %TEMP%\copy.bat
- %TEMP%\exef881.tmp
- %TEMP%\disable fire.bat
Сетевая активность
UDP
- 'localhost':57351
- 'localhost':50605
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\copy.exe'
- '%TEMP%\ixp000.tmp\win32.exe'
- '%TEMP%\ixp001.tmp\df.exe'
- '%TEMP%\ixp001.tmp\explorer.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\Copy.bat"" (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\disable fire.bat"" (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' stop WSCSVC
- '%TEMP%\ixp000.tmp\copy.exe' (со скрытым окном)
- '%TEMP%\ixp000.tmp\win32.exe' (со скрытым окном)
- '%TEMP%\ixp001.tmp\df.exe' (со скрытым окном)
- '%TEMP%\ixp001.tmp\explorer.exe' (со скрытым окном)
