Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\tlntsvr.exe файлом <SYSTEM32>\tlntsvr.exe
Заражает следующие исполняемые файлы:
- <SYSTEM32>\tlntsvr.exe
Вредоносные функции:
Ищет следующие окна с целью
обхода системы защиты файлов Windows (WFP):
- ClassName: '#32770' WindowName: 'Windows File Protection'
Изменения в файловой системе:
Удаляет следующие файлы:
- <SYSTEM32>\dllcache\tlntsvr.exe
Перемещает следующие системные файлы:
- <SYSTEM32>\tlntsvr.exe в <SYSTEM32>\tlntsvr.exe.bak
Сетевая активность:
Подключается к:
- '2f###.#esimzade.com.cn':80
- '2d###.#anowark.com.cn':80
TCP:
Запросы HTTP GET:
- 2d###.#anowark.com.cn/update/version.txt
UDP:
- DNS ASK 2f###.#esimzade.com.cn
- DNS ASK 2d###.#anowark.com.cn
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: 'Windows ????????'
