Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'Winlogon' = '%WINDIR%\csrss.exe'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\taskkill.exe' /f /im teatimer.exe
- '%WINDIR%\syswow64\taskkill.exe' /f /im pctsvc.exe
- '%WINDIR%\syswow64\taskkill.exe' /f /im pctsauxs.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\dir
- %WINDIR%\csrss.exe
Сетевая активность
Подключается к
- '<LOCALNET>.25.4':0
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\csrss.exe'
Запускает на исполнение
- '%WINDIR%\csrss.exe' (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /f /im teatimer.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /f /im pctsvc.exe (со скрытым окном)
- '%WINDIR%\syswow64\taskkill.exe' /f /im pctsauxs.exe (со скрытым окном)
