Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '<Имя файла>.exe' = '"<Полный путь к файлу>"'
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\srviecheck] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\srviecheck] 'ImagePath' = '%WINDIR%\iecheck.exe srv'
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие сервисы
- 'srviecheck' %WINDIR%\iecheck.exe srv
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /F /IM iecheck.exe
- '%WINDIR%\syswow64\net.exe' stop "srviecheck"
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\iecheck.exe
Сетевая активность
UDP
- DNS ASK fr###pac.net
- DNS ASK of######mportant-update.com
- 'localhost':59287
- 'localhost':50924
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\iecheck.exe' srv
- '%WINDIR%\iecheck.exe' stand
Запускает на исполнение
- '%WINDIR%\syswow64\net1.exe' stop "srviecheck"
- '%WINDIR%\syswow64\sc.exe' delete "srviecheck" (со скрытым окном)
- '%WINDIR%\syswow64\sc.exe' create "srviecheck" binpath= "%WINDIR%\iecheck.exe srv" start= "auto" (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' start "srviecheck" (со скрытым окном)
- '%WINDIR%\syswow64\net1.exe' start "srviecheck"
- '%WINDIR%\syswow64\taskkill.exe' /F /IM iecheck.exe (со скрытым окном)
- '%WINDIR%\syswow64\net.exe' stop "srviecheck" (со скрытым окном)
- '%WINDIR%\iecheck.exe' stand (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall set opmode mode=disable (со скрытым окном)
