Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall set privateprofile state off
- '%WINDIR%\syswow64\netsh.exe' advfirewall set publicprofile state off
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\aut8d41.tmp
- C:\config.ini
- %TEMP%\aut8daf.tmp
- %TEMP%\aut8e5c.tmp
- %TEMP%\aut8f27.tmp
- C:\bypass-config.ini
- %TEMP%\aut9003.tmp
- %WINDIR%\cnc380.exe
- %TEMP%\aut9ef2.tmp
- %WINDIR%\adb.exe
- %TEMP%\auta105.tmp
- %WINDIR%\adbwinapi.dll
- %TEMP%\auta193.tmp
- C:\adb.exe
- %TEMP%\auta2cc.tmp
- C:\adbwinapi.dll
- %TEMP%\auta2fb.tmp
- C:\androidemulatorex.exe
Удаляет следующие файлы
- %TEMP%\aut8d41.tmp
- %TEMP%\aut8daf.tmp
- %TEMP%\aut8e5c.tmp
- %TEMP%\aut8f27.tmp
- %TEMP%\aut9003.tmp
- %TEMP%\aut9ef2.tmp
- %TEMP%\auta105.tmp
- %TEMP%\auta193.tmp
- %TEMP%\auta2cc.tmp
- %TEMP%\auta2fb.tmp
Сетевая активность
TCP
Другие
- '34.##9.100.209':443
UDP
- 'localhost':49402
- 'localhost':51304
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set publicprofile state off (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set privateprofile state off (со скрытым окном)
