Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Reg Key' = 'C:\Waring.exe'
- [\REGISTRY\USER\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run] 'Reg Key' = '%WINDIR%\SysWOW64\osiism.exe'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\Nationalint] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\Nationalint] 'ImagePath' = '<SYSTEM32>\osiism.exe'
Создает следующие сервисы
- 'Nationalint' <SYSTEM32>\osiism.exe
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\osiism.exe
следующие пользовательские процессы:
- waring.exe
Изменения в файловой системе
Создает следующие файлы
- C:\¿à ·ùçø°á.exe
- C:\waring.exe
- %LOCALAPPDATA%\flte.reg
- %WINDIR%\syswow64\osiism.exe
- %WINDIR%\syswow64\config\systemprofile\appdata\local\flte.reg
Сетевая активность
UDP
- DNS ASK go####e.ddns.net
Другое
Создает и запускает на исполнение
- 'C:\¿à ·ùçø°á.exe'
- 'C:\waring.exe'
- '%WINDIR%\syswow64\osiism.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\reg.exe' import %LOCALAPPDATA%\flte.reg (со скрытым окном)
- '%WINDIR%\syswow64\reg.exe' import <SYSTEM32>\config\systemprofile\AppData\Local\flte.reg (со скрытым окном)
