Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\runlb
- <SYSTEM32>\tasks\runsb
- <SYSTEM32>\tasks\runla
- <SYSTEM32>\tasks\runsa
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции
Запускает на исполнение
- '<SYSTEM32>\taskkill.exe' /f /im SearchApp.exe
- '<SYSTEM32>\taskkill.exe' /f /im StartMenuExperienceHost.exe
Изменения в файловой системе
Создает следующие файлы
- \device\harddiskvolume2
- \device\harddiskvolume3
- \device\cdrom0
- \device\harddiskvolume4
- <Текущая директория>\rundll.exe
Удаляет следующие файлы
- <SYSTEM32>\logonui.exe
- <SYSTEM32>\winload.exe
- <SYSTEM32>\consent.exe
- <SYSTEM32>\hal.dll
- <SYSTEM32>\ntoskrnl.exe
- <DRIVERS>\1394bus.sys
- <DRIVERS>\1394ohci.sys
- <DRIVERS>\acpi.sys
- <DRIVERS>\acpipmi.sys
- <DRIVERS>\adp94xx.sys
- <DRIVERS>\adpahci.sys
- <DRIVERS>\adpu320.sys
- <DRIVERS>\afd.sys
- <DRIVERS>\agilevpn.sys
- <DRIVERS>\agp440.sys
- <DRIVERS>\aliide.sys
- <DRIVERS>\amdide.sys
- <DRIVERS>\amdk8.sys
- <DRIVERS>\amdppm.sys
- <DRIVERS>\amdsata.sys
- <DRIVERS>\amdsbs.sys
- <DRIVERS>\amdxata.sys
- <DRIVERS>\appid.sys
- <DRIVERS>\arc.sys
- <DRIVERS>\arcsas.sys
- <DRIVERS>\asyncmac.sys
- <DRIVERS>\atapi.sys
- <DRIVERS>\ataport.sys
- <DRIVERS>\b57nd60a.sys
- <DRIVERS>\battc.sys
- <DRIVERS>\beep.sys
- <DRIVERS>\blbdrive.sys
- <DRIVERS>\bowser.sys
- <DRIVERS>\brfiltlo.sys
- <DRIVERS>\brfiltup.sys
- <DRIVERS>\bridge.sys
- <DRIVERS>\brserid.sys
- <DRIVERS>\brserwdm.sys
- <DRIVERS>\brusbmdm.sys
- <DRIVERS>\brusbser.sys
- <DRIVERS>\bthmodem.sys
- <DRIVERS>\bxvbda.sys
- <DRIVERS>\cdfs.sys
- <DRIVERS>\cdrom.sys
- <DRIVERS>\circlass.sys
- <DRIVERS>\classpnp.sys
- <DRIVERS>\cmbatt.sys
- <DRIVERS>\cmdide.sys
- <DRIVERS>\cng.sys
- <DRIVERS>\compbatt.sys
- <DRIVERS>\compositebus.sys
- <DRIVERS>\crashdmp.sys
- <DRIVERS>\crcdisk.sys
- <DRIVERS>\csc.sys
- <DRIVERS>\dfsc.sys
- <DRIVERS>\discache.sys
- <DRIVERS>\disk.sys
- <DRIVERS>\diskdump.sys
- <DRIVERS>\dmvsc.sys
- <DRIVERS>\drmk.sys
- <DRIVERS>\drmkaud.sys
- <DRIVERS>\dumpata.sys
- <DRIVERS>\dumpfve.sys
- <DRIVERS>\dxapi.sys
- <DRIVERS>\dxg.sys
- <DRIVERS>\dxgkrnl.sys
- <DRIVERS>\dxgmms1.sys
- <DRIVERS>\e1g6032e.sys
- <DRIVERS>\elxstor.sys
- <DRIVERS>\errdev.sys
- <DRIVERS>\etc\hosts
- <DRIVERS>\etc\lmhosts.sam
- <DRIVERS>\etc\networks
- <DRIVERS>\etc\protocol
- <DRIVERS>\etc\services
- <DRIVERS>\evbda.sys
- <DRIVERS>\flpydisk.sys
- <DRIVERS>\gagp30kx.sys
- <DRIVERS>\hcw85cir.sys
- <DRIVERS>\hidbatt.sys
- <DRIVERS>\hidbth.sys
- <DRIVERS>\hidir.sys
- <DRIVERS>\hpsamd.sys
- <DRIVERS>\iastorv.sys
- <DRIVERS>\iirsp.sys
- <DRIVERS>\intelide.sys
- <DRIVERS>\ipmidrv.sys
- <DRIVERS>\isapnp.sys
- <DRIVERS>\kbdhid.sys
- <DRIVERS>\lsi_fc.sys
- <DRIVERS>\lsi_sas.sys
- <DRIVERS>\lsi_sas2.sys
- <DRIVERS>\lsi_scsi.sys
- <DRIVERS>\megasas.sys
- <DRIVERS>\megasr.sys
- <DRIVERS>\monitor.sys
- <DRIVERS>\mpio.sys
- <DRIVERS>\msahci.sys
- <DRIVERS>\msdsm.sys
- <DRIVERS>\msft_user_wpdfs_01_09_00.wdf
- <DRIVERS>\msiscsi.sys
- <DRIVERS>\mtconfig.sys
- <DRIVERS>\nfrd960.sys
- <DRIVERS>\nvraid.sys
- <DRIVERS>\nvstor.sys
- <DRIVERS>\nv_agp.sys
- <DRIVERS>\ohci1394.sys
- <DRIVERS>\parport.sys
- <DRIVERS>\pciide.sys
- <DRIVERS>\pcmcia.sys
- <DRIVERS>\processr.sys
- <DRIVERS>\ql2300.sys
- <DRIVERS>\ql40xx.sys
- <DRIVERS>\sbp2port.sys
- <DRIVERS>\secdrv.sys
- <DRIVERS>\serenum.sys
- <DRIVERS>\serial.sys
- <DRIVERS>\sffdisk.sys
- <DRIVERS>\sffp_mmc.sys
- <DRIVERS>\sffp_sd.sys
- <DRIVERS>\sfloppy.sys
- <DRIVERS>\sisraid2.sys
- <DRIVERS>\sisraid4.sys
- <DRIVERS>\stexstor.sys
- <DRIVERS>\storvsc.sys
- <DRIVERS>\swenum.sys
- <DRIVERS>\synth3dvsc.sys
- <DRIVERS>\terminpt.sys
- <DRIVERS>\tsusbgd.sys
- <DRIVERS>\tsusbhub.sys
- <DRIVERS>\uagp35.sys
- <DRIVERS>\uliagpkx.sys
- <DRIVERS>\umpass.sys
- <DRIVERS>\usbccgp.sys
- <DRIVERS>\usbcir.sys
- <DRIVERS>\usbehci.sys
- <DRIVERS>\usbprint.sys
- <DRIVERS>\usbstor.sys
- <DRIVERS>\usbuhci.sys
- <DRIVERS>\vhdmp.sys
- <DRIVERS>\viaide.sys
- <DRIVERS>\vmbus.sys
- <DRIVERS>\vmbushid.sys
- <DRIVERS>\vms3cap.sys
- <DRIVERS>\vmstorfl.sys
- <DRIVERS>\vsmraid.sys
- <DRIVERS>\wacompen.sys
- <DRIVERS>\wd.sys
- <DRIVERS>\winhv.sys
- <DRIVERS>\wmiacpi.sys
- <DRIVERS>\en-us\1394ohci.sys.mui
- <DRIVERS>\en-us\acpi.sys.mui
- <DRIVERS>\en-us\afd.sys.mui
- <DRIVERS>\en-us\agp440.sys.mui
- <DRIVERS>\en-us\amdide.sys.mui
- <DRIVERS>\en-us\amdk8.sys.mui
- <DRIVERS>\en-us\amdppm.sys.mui
- <DRIVERS>\en-us\ataport.sys.mui
- <DRIVERS>\en-us\atikmdag.sys.mui
- <DRIVERS>\en-us\battc.sys.mui
- <DRIVERS>\en-us\bfe.dll.mui
- <DRIVERS>\en-us\brparwdm.sys.mui
- <DRIVERS>\en-us\brserib.sys.mui
- <DRIVERS>\en-us\brserid.sys.mui
- <DRIVERS>\en-us\bthenum.sys.mui
- <DRIVERS>\en-us\bthpan.sys.mui
- <DRIVERS>\en-us\bthport.sys.mui
- <DRIVERS>\en-us\bthusb.sys.mui
- <DRIVERS>\en-us\cdrom.sys.mui
- <DRIVERS>\en-us\disk.sys.mui
- <DRIVERS>\en-us\dot4usb.sys.mui
- <DRIVERS>\en-us\fltmgr.sys.mui
- <DRIVERS>\en-us\fvevol.sys.mui
- <DRIVERS>\en-us\gagp30kx.sys.mui
- <DRIVERS>\en-us\hdaudbus.sys.mui
- <DRIVERS>\en-us\hdaudio.sys.mui
- <DRIVERS>\en-us\hidbth.sys.mui
- <DRIVERS>\en-us\http.sys.mui
- <DRIVERS>\en-us\i8042prt.sys.mui
- <DRIVERS>\en-us\intelppm.sys.mui
- <DRIVERS>\en-us\ipmidrv.sys.mui
- <DRIVERS>\en-us\ipnat.sys.mui
- <DRIVERS>\en-us\isapnp.sys.mui
- <DRIVERS>\en-us\kbdclass.sys.mui
- <DRIVERS>\en-us\kbdhid.sys.mui
- <DRIVERS>\en-us\luafv.sys.mui
- <DRIVERS>\en-us\modem.sys.mui
- <DRIVERS>\en-us\mouclass.sys.mui
- <DRIVERS>\en-us\mouhid.sys.mui
- <DRIVERS>\en-us\mountmgr.sys.mui
- <DRIVERS>\en-us\mpio.sys.mui
- <DRIVERS>\en-us\msdsm.sys.mui
- <DRIVERS>\en-us\mssmbios.sys.mui
- <DRIVERS>\en-us\mtconfig.sys.mui
- <DRIVERS>\en-us\ndis.sys.mui
- <DRIVERS>\en-us\ndiscap.sys.mui
- <DRIVERS>\en-us\ndisuio.sys.mui
- <DRIVERS>\en-us\ntfs.sys.mui
- <DRIVERS>\en-us\nv_agp.sys.mui
- <DRIVERS>\en-us\nwifi.sys.mui
- <DRIVERS>\en-us\ohci1394.sys.mui
- <DRIVERS>\en-us\pacer.sys.mui
- <DRIVERS>\en-us\parport.sys.mui
- <DRIVERS>\en-us\partmgr.sys.mui
- <DRIVERS>\en-us\pci.sys.mui
- <DRIVERS>\en-us\pcmcia.sys.mui
- <DRIVERS>\en-us\pnpmem.sys.mui
- <DRIVERS>\en-us\portcls.sys.mui
- <DRIVERS>\en-us\processr.sys.mui
- <DRIVERS>\en-us\pscr.sys.mui
- <DRIVERS>\en-us\qwavedrv.sys.mui
- <DRIVERS>\en-us\rdbss.sys.mui
- <DRIVERS>\en-us\rdpwd.sys.mui
- <DRIVERS>\en-us\rdvgkmd.sys.mui
- <DRIVERS>\en-us\rndismp.sys.mui
- <DRIVERS>\en-us\rndismp6.sys.mui
- <DRIVERS>\en-us\rndismpx.sys.mui
- <DRIVERS>\en-us\scfilter.sys.mui
- <DRIVERS>\en-us\scsiport.sys.mui
- <DRIVERS>\en-us\serial.sys.mui
- <DRIVERS>\en-us\sermouse.sys.mui
- <DRIVERS>\en-us\serscan.sys.mui
- <DRIVERS>\en-us\srv.sys.mui
- <DRIVERS>\en-us\tcpip.sys.mui
- <DRIVERS>\en-us\tpm.sys.mui
- <DRIVERS>\en-us\tsusbflt.sys.mui
- <DRIVERS>\en-us\tsusbhub.sys.mui
- <DRIVERS>\en-us\tunnel.sys.mui
- <DRIVERS>\en-us\uagp35.sys.mui
- <DRIVERS>\en-us\uliagpkx.sys.mui
- <DRIVERS>\en-us\umbus.sys.mui
- <DRIVERS>\en-us\usbhub.sys.mui
- <DRIVERS>\en-us\usbport.sys.mui
- <DRIVERS>\en-us\usbrpm.sys.mui
- <DRIVERS>\en-us\vdrvroot.sys.mui
- <DRIVERS>\en-us\vhdmp.sys.mui
- <DRIVERS>\en-us\volmgrx.sys.mui
- <DRIVERS>\en-us\volsnap.sys.mui
- <DRIVERS>\en-us\vwifibus.sys.mui
- <DRIVERS>\en-us\wacompen.sys.mui
- <DRIVERS>\en-us\wd.sys.mui
- <DRIVERS>\en-us\wdf01000.sys.mui
- <DRIVERS>\en-us\ws2ifsl.sys.mui
Сетевая активность
Подключается к
- 'co##############e-chains.prod.autograph.services.mozaws.net':443
UDP
- DNS ASK co##############e-chains.prod.autograph.services.mozaws.net
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
Запускает на исполнение
- '<SYSTEM32>\mountvol.exe' X: /S (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<DRIVERS>\*" (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\LogonUI.exe" (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c del X:\*.* /s /f /q
- '<SYSTEM32>\cmd.exe' /c rd X:\EFI /s /q
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\LogonUI.exe" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\winload.exe" (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\winload.exe" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\consent.exe" (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\consent.exe" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\hal.dll" (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\hal.dll" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\ntoskrnl.exe" (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "<SYSTEM32>\ntoskrnl.exe" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "%WINDIR%\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\*.*" (со скрытым окном)
- '<SYSTEM32>\takeown.exe' /f "%WINDIR%\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\*.*" (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "%WINDIR%\SystemApps\Microsoft.Windows.StartMenuExperienceHost_cw5n1h2txyewy\StartMenuExperienceHost.exe" /deny Everyone:F (со скрытым окном)
- '<SYSTEM32>\icacls.exe' "%WINDIR%\SystemApps\Microsoft.Windows.Search_cw5n1h2txyewy\SearchApp.exe" /deny Everyone:F (со скрытым окном)
- '<SYSTEM32>\net.exe' user user {D208342A-32E4-4EA6-8C09-FB13AB926DBA} (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Runlb" /tr "%APPDATA%\SystemFile\b.exe" /sc onlogon /f /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\net1.exe' user user {D208342A-32E4-4EA6-8C09-FB13AB926DBA}
- '<SYSTEM32>\icacls.exe' "<DRIVERS>\*" /grant Everyone:F (со скрытым окном)
- '<SYSTEM32>\net.exe' user user /active:no (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Runsb" /tr "%APPDATA%\SystemFile\b.exe" /sc onstart /f /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\net1.exe' user user /active:no
- '<SYSTEM32>\takeown.exe' /f "<SYSTEM32>\*" (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Runla" /tr "%APPDATA%\SystemFile\a.exe" /sc onlogon /f /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\schtasks.exe' /create /tn "Runsa" /tr "%APPDATA%\SystemFile\a.exe" /sc onstart /f /rl HIGHEST (со скрытым окном)
- '<SYSTEM32>\net.exe' user user {CD8565BE-2927-492F-AA3C-521418C120F3} (со скрытым окном)
- '<SYSTEM32>\net1.exe' user user {CD8565BE-2927-492F-AA3C-521418C120F3}
- '<SYSTEM32>\reg.exe' delete HKCU /f (со скрытым окном)
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f (со скрытым окном)
- '<SYSTEM32>\net.exe' user user {DEAFE900-A36C-4789-884D-2BB2B8568343} (со скрытым окном)
- '<SYSTEM32>\net1.exe' user user {DEAFE900-A36C-4789-884D-2BB2B8568343}
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LockedDownSIDs /f (со скрытым окном)
- '<SYSTEM32>\reg.exe' add "HKEY_CURRENT_USER\Control Panel\Desktop" /v HotTracking /t REG_DWORD /d 0 /f (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /f /im SearchApp.exe (со скрытым окном)
- '<SYSTEM32>\taskkill.exe' /f /im StartMenuExperienceHost.exe (со скрытым окном)
