Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\software\microsoft\windows\currentversion\Policies\Explorer\Run] '1503726443' = '%ProgramFiles%\msbaouxm.exe'
- [HKCU\software\microsoft\windows nt\currentversion\Windows] 'Load' = ''
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\msiexec.exe
Изменения в файловой системе
Создает следующие файлы
- %ProgramFiles%\msbaouxm.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %ProgramFiles%\msbaouxm.exe
Самоудаляется.
Сетевая активность
Подключается к
- 'microsoft.com':80
- 'tr###rnews.xyz':80
TCP
Запросы HTTP POST
- http://tr###rnews.xyz/vTFZ8BA5GM/7admZAGB1v.php
UDP
- DNS ASK eu####.pool.ntp.org
- DNS ASK microsoft.com
- DNS ASK tr###rnews.xyz
- 'eu####.pool.ntp.org':123
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\msiexec.exe'
