Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\update\winflash
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- svchost.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\setupx.exe
- %TEMP%\ixp000.tmp\setup.exe
- %APPDATA%\winflash\svchost.exe
- %APPDATA%\winflash\svchost.exe\:zone.identifier:$data
- %TEMP%\905630301.xml
- %TEMP%\is-l1jk1.tmp\setup.tmp
- %APPDATA%\0cb67e2f-dc95-45ca-8fb8-69bde8e3f814\run.dat
Удаляет следующие файлы
- %TEMP%\905630301.xml
- %APPDATA%\winflash\svchost.exe:zone.identifier
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- DNS ASK 66##.#codework.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\setupx.exe'
- '%APPDATA%\winflash\svchost.exe'
- '%TEMP%\ixp000.tmp\setup.exe'
- '%TEMP%\is-l1jk1.tmp\setup.tmp' /SL5="$601AE,119296,0,%TEMP%\IXP000.TMP\Setup.exe"
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%TEMP%\IXP000.TMP\Setupx.exe":ZONE.identifier & exit (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c echo [zoneTransfer]ZoneID = 2 > "%APPDATA%\WinFLash\svchost.exe":ZONE.identifier & exit (со скрытым окном)
- '%WINDIR%\syswow64\schtasks.exe' /Create /TN "Update\WInFlash" /XML "%TEMP%\905630301.xml" (со скрытым окном)
Использует альтернативные потоки данных NTFS
