Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\svcLanSerfer] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\svcLanSerfer] 'ImagePath' = '%WINDIR%\SysWOW64\LanClient.exe'
Создает следующие сервисы
- 'svcLanSerfer' %WINDIR%\SysWOW64\LanClient.exe
Вредоносные функции
Устанавливает процедуры перехвата сообщений
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\SysWOW64\hlibstaex.dll
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\clientsetup.exe
- %WINDIR%\syswow64\zclientoptions.lco
- %WINDIR%\syswow64\zlib.dll
- %WINDIR%\syswow64\zoptions.lco
- %TEMP%\gert0.dll
- %TEMP%\ci0-temp\clientlan25.set
- %TEMP%\lanclient.exe
- %TEMP%\hlibstaex.dll
- %TEMP%\setup.exe
Удаляет следующие файлы
- %TEMP%\ci0-temp\clientlan25.set
- %TEMP%\gert0.dll
Перемещает следующие файлы
- %TEMP%\lanclient.exe в %WINDIR%\syswow64\lanclient.exe
- %TEMP%\hlibstaex.dll в %WINDIR%\syswow64\hlibstaex.dll
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\syswow64\clientsetup.exe'
- '%TEMP%\setup.exe'
- '%WINDIR%\syswow64\lanclient.exe' /LANSERSETUP /SILENT
- '%WINDIR%\syswow64\lanclient.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\net.exe' start svcLanSerfer (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' start svcLanSerfer
- '%WINDIR%\syswow64\lanclient.exe' /LANSERSETUP /SILENT (со скрытым окном)
