Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'ttool' = '%WINDIR%\sr882388.exe'
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\smss.exe
- <SYSTEM32>\csrss.exe
- <SYSTEM32>\wininit.exe
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\services.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\lsm.exe
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskhost.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
- <SYSTEM32>\wudfhost.exe
- <SYSTEM32>\sppsvc.exe
- %WINDIR%\syswow64\cmd.exe
следующие пользовательские процессы:
- sr882388.exe
- iexplore.exe
- firefox.exe
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\sr882388.exe
- <Текущая директория>\abcdefg.bat
Самоудаляется.
Сетевая активность
Подключается к
- '91.##3.94.131':80
Другое
Создает и запускает на исполнение
- '%WINDIR%\sr882388.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""<Текущая директория>\abcdefg.bat" "<Полный путь к файлу>"" (со скрытым окном)
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\FirewallControlPanel.dll,ShowNotificationDialog /configure /ETOnly 0 /OnProfiles 6 /OtherAllowed 0 /OtherBlocked 0 /OtherEdgeAllowed 0 /NewBlocked 4 "%WINDIR%\sr882388.exe"
