Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\darkness] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\darkness] 'ImagePath' = '%WINDIR%\system\dwm.exe'
Создает следующие сервисы
- 'darkness' %WINDIR%\system\dwm.exe
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '\' = '%WINDIR%\system\dwm.exe:*:Enabled:KL'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\system\dwm.exe
- %WINDIR%\temp\ddid
- %WINDIR%\syswow64\config\systemprofile\appdata\roaming\microsoft\windows\ietldcache\index.dat
Сетевая активность
Подключается к
- 'be##job.in':80
TCP
Запросы HTTP GET
- http://be##job.in/seo/index.php?ui####################
UDP
- DNS ASK be####j1o2b2.net
- DNS ASK be###job23.in
- DNS ASK be##job.in
Другое
Создает и запускает на исполнение
- '%WINDIR%\system\dwm.exe' /start
- '%WINDIR%\system\dwm.exe'
