Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\microsoft\Windows NT\CURRENTVERSION\WINDOWS] 'LoadAppInit_DLLs' = '00000001'
- [HKLM\Software\Wow6432Node\microsoft\Windows NT\CURRENTVERSION\WINDOWS] 'Appinit_Dlls' = 'nmklo'
Создает следующие сервисы
- 'umbus' system32\DRIVERS\umbus.sys
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\qas46bf.tmp
- %WINDIR%\syswow64\cooper.mine
- %WINDIR%\syswow64\cccc
- %WINDIR%\syswow64\nmklo.dll
- %WINDIR%\syswow64\h7t.wt
- %WINDIR%\syswow64\ff4h.gy
- %WINDIR%\syswow64\hgtd.ruy
- <SYSTEM32>\microsoft\protect\s-1-5-20\d1ed5cb0-e6f2-4e81-be10-60d52fe7fe5a
- <SYSTEM32>\microsoft\protect\s-1-5-20\preferred
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\machinekeys\f686aace6942fb7f7ceb231212eef4a4_0cb67e2f-dc95-45ca-8fb8-69bde8e3f814
Удаляет следующие файлы
- %TEMP%\qas46bf.tmp
- %WINDIR%\syswow64\cccc
Сетевая активность
UDP
- DNS ASK si###opa.com
- DNS ASK pe###opa.com
- DNS ASK ne###opa.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\wbem\wmic.exe' path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1 (со скрытым окном)
