Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\Net Security Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\ps.exe'
- '<Текущая директория>\temp.exe'
Запускает на исполнение:
- '<SYSTEM32>\sysprep\sysprep.exe' "<Текущая директория>\ps.exe" "<SYSTEM32>" ""
- '<SYSTEM32>\consent.exe' 844 402 00349388
- '<SYSTEM32>\svchost.exe' -k netsvcss
- '<SYSTEM32>\consent.exe' 844 220 01A263B0
- '<SYSTEM32>\DllHost.exe' /Processid:{E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}
- '<SYSTEM32>\DllHost.exe' /Processid:{3AD05575-8857-4850-9277-11B85BDB8E09}
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\sysprep\Panther\setupact.log
- <SYSTEM32>\sysprep\Panther\diagwrn.xml
- %PROGRAM_FILES%\Internet Explorer\icwnet.dll
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
- <SYSTEM32>\sysprep\Panther\diagerr.xml
- <Текущая директория>\ps.exe
- <Текущая директория>\temp.exe
- <SYSTEM32>\sysprep\CRYPTBASE.dll
- C:\ProgramData\w7eD9BB.tmp
Удаляет следующие файлы:
- <Текущая директория>\ps.exe
- C:\ProgramData\Microsoft\RAC\Temp\sql8536.tmp
- C:\ProgramData\Microsoft\RAC\Temp\sql8516.tmp
- <SYSTEM32>\sysprep\CRYPTBASE.dll
- C:\ProgramData\w7eD9BB.tmp
- <Текущая директория>\temp.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.le###ost.com':1037
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK www.le###ost.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
