Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'LuminosityLink' = '"%ALLUSERSPROFILE%\471257\Luminosity.exe" -a /a'
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'LuminosityLink' = '"%ALLUSERSPROFILE%\471257\Luminosity.exe" -a /a'
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\filename.bat
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\subfolder\filename.exe
- %TEMP%\svchost.exe
- %ALLUSERSPROFILE%\dea11b3218b246777b267bdce2ee955d56edde5d
- %ALLUSERSPROFILE%\471257\luminosity.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\dea11b3218b246777b267bdce2ee955d56edde5d
Сетевая активность
UDP
- DNS ASK kr###x.ddns.net
Другое
Создает и запускает на исполнение
- '%TEMP%\svchost.exe'
