Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'qw7v4x1c4fxsq' = '"%ALLUSERSPROFILE%\svchost0\iuznffnsd.exe"'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windows update check - 0x19cf045a
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\SSDPSRV] 'Start' = '00000002'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\werfault.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\schtasks.exe
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2500' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2500' = '00000003'
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\svchost0\iuznffnsd.exe
Самоперемещается
- из <Полный путь к файлу> в %ALLUSERSPROFILE%\svchost0\iuznffnsd.exe
Сетевая активность
UDP
- DNS ASK windowsupdate.microsoft.com
- DNS ASK yk###ork.biz
- DNS ASK tr###jv3.biz
- DNS ASK 5g##690.biz
- DNS ASK uf###67i.biz
- DNS ASK 7g###r75.biz
- DNS ASK 87###yh4.biz
Другое
Перезапускает анализируемый образец
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /CREATE /SC ONLOGON /TN "Windows Update Check - 0x19CF045A" /TR "%ALLUSERSPROFILE%\svchost0\iuznffnsd.exe" /RL HIGHEST (со скрытым окном)
