Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\deadclient
- <SYSTEM32>\tasks\deadsvc64
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\dllhost.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\lsm.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\wbem\wmiprvse.exe
- <SYSTEM32>\sppsvc.exe
- <SYSTEM32>\taskeng.exe
- <SYSTEM32>\werfault.exe
- %WINDIR%\syswow64\werfault.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- deadclient.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\uninstaller.exe
- %TEMP%\dqqhrhgu.exe
- %WINDIR%\deadclient.exe
- %WINDIR%\deadrootkit.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\deadclient.exe
- %WINDIR%\deadrootkit.exe
Удаляет следующие файлы
- %TEMP%\dqqhrhgu.exe
- %WINDIR%\uninstaller.exe
Другое
Создает и запускает на исполнение
- '%WINDIR%\uninstaller.exe'
- '%TEMP%\dqqhrhgu.exe'
- '%WINDIR%\deadclient.exe'
- '%WINDIR%\deadrootkit.exe'
Запускает на исполнение
- '<SYSTEM32>\schtasks.exe' /create /f /sc onlogon /rl highest /tn "DeadClient" /tr "<Полный путь к файлу>" (со скрытым окном)
- '<SYSTEM32>\dllhost.exe' /Processid:{33a486e4-02ee-4995-a36c-604c56b08f77}
- '<SYSTEM32>\windowspowershell\v1.0\powershell.exe' "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('S'+[Char](79)+''+[Char](70)+''+[Char](84)+''+'W'+''+[Char](65)+''+'R'+''+'E'+'').GetValue(''+[Char](68)+''+[Cha... (со скрытым окном)
