Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\FastUserSwitchingCompatibility] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\FastUserSwitchingCompatibility] 'ImagePath' = '<SYSTEM32>\SVCHoST.EXE -K NETSVcS'
- [HKLM\system\cURRENTcONTROLsET\sERVICES\FastUserSwitchingCompatibility\Parameters] 'ServiceDll' = '<SYSTEM32>\FastUserSwitchingCompatibilityupt.dll'
Создает следующие сервисы
- 'FastUserSwitchingCompatibility' <SYSTEM32>\SVCHoST.EXE -K NETSVcS
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\Г¼æ¬½â~1.exe
- %WINDIR%\temp\l.bat
- %WINDIR%\temp\l.vbs
- %WINDIR%\temp\2.exe
- %WINDIR%\temp\2.jpg
- %WINDIR%\temp\d1.exe
- %TEMP%\726605_default.bak
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\fastuserswitchingcompatibilityupt.dll
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\Г¼æ¬½â~1.exe
Перемещает следующие файлы
- %TEMP%\726605_default.bak в %WINDIR%\syswow64\fastuserswitchingcompatibilityupt.dll
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK gl##.3322.org
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\Г¼æ¬½â~1.exe'
- '%WINDIR%\syswow64\wscript.exe' "%WINDIR%\temp\l.vbs"
- '%WINDIR%\temp\2.exe'
- '%WINDIR%\temp\d1.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%WINDIR%\Temp\l.bat" " (со скрытым окном)
- '%TEMP%\ixp000.tmp\Г¼æ¬½â~1.exe' (со скрытым окном)
