Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\lsass.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%HOMEPATH%\Start Menu\Programs\Startup\lsass.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\sysdm.cpl,NoExecuteProcessException %WINDIR%\explorer.exe
- '<SYSTEM32>\dumprep.exe' 1428 -dm 7 7 %TEMP%\WER86de.dir00\explorer.exe.hdmp 16325836412028608
- '<SYSTEM32>\dumprep.exe' 1428 -dm 7 7 %TEMP%\WER86de.dir00\explorer.exe.mdmp 16325836412028596
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
- <SYSTEM32>\dumprep.exe
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\WER86de.dir00\appcompat.txt
- %TEMP%\WER86de.dir00\manifest.txt
- %TEMP%\WER86de.dir00\explorer.exe.mdmp
- %TEMP%\WER86de.dir00\explorer.exe.hdmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
