Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\windowsrecoverycleaner
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\attrib.exe
Изменения в файловой системе
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\iostream.exe
Самоперемещается
- из <Полный путь к файлу> в %ALLUSERSPROFILE%\iostream.exe
Сетевая активность
UDP
- DNS ASK lg#####gjlvaf.hopto.org
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /tn WindowsRecoveryCleaner /tr "%ALLUSERSPROFILE%\Iostream.exe" /st 00:00 /sc daily /du 9999:59 /ri 1 /f (со скрытым окном)
- '%WINDIR%\syswow64\attrib.exe'
- '<SYSTEM32>\taskeng.exe' {7409EB27-1C3B-4B6E-B50F-A91BA7D13159} S-1-5-21-3691498038-2086406363-2140527554-1000:fqqmcid\user:Interactive:[1]
- '%ALLUSERSPROFILE%\iostream.exe' (со скрытым окном)
