Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmonn' = '<SYSTEM32>\snss.exe'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'ctfmonn' = '<SYSTEM32>\snss.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\test.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\snss.exe
- C:\system.bat
- C:\test.exe
- C:\autorun.inf
- D:\test.exe
- D:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\snss.exe
- C:\test.exe
- C:\autorun.inf
- D:\test.exe
- D:\autorun.inf
- <Имя диска съемного носителя>:\test.exe
- <Имя диска съемного носителя>:\autorun.inf
Самоудаляется.
Сетевая активность
UDP
- 'localhost':49758
- 'localhost':61019
- 'localhost':60771
- 'localhost':53425
- 'localhost':58318
Другое
Создает и запускает на исполнение
- '<SYSTEM32>\snss.exe'
Запускает на исполнение
- '<SYSTEM32>\cmd.exe' /c ""C:\system.bat" " (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c ipconfig /release
- '<SYSTEM32>\ipconfig.exe' /release
- '<SYSTEM32>\cmd.exe' /c ipconfig /renew
- '<SYSTEM32>\ipconfig.exe' /renew
- '<SYSTEM32>\snss.exe' (со скрытым окном)
