Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'sysconfig32' = '<SYSTEM32>\sysconfig32.exe'
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\winmbu.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\SysWOW64\sysconfig32.exe' = '%WINDIR%\SysWOW64\sysconfig32....
Внедряет код в
следующие пользовательские процессы:
- sysconfig32.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\winmbu.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\winmbu.exe
Самоперемещается
- из <Полный путь к файлу> в %WINDIR%\syswow64\sysconfig32.exe
Сетевая активность
UDP
- DNS ASK bu##.#urimche.net
Другое
Создает и запускает на исполнение
- '%WINDIR%\winmbu.exe'
- '%WINDIR%\syswow64\sysconfig32.exe'
Запускает на исполнение
- '%WINDIR%\winmbu.exe' (со скрытым окном)
