Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' advfirewall set publicprofile state off
- '%WINDIR%\syswow64\netsh.exe' advfirewall set privateprofile state off
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\runtimebroker.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\autd05b.tmp
- C:\dsound.dll
- %TEMP%\autd4f0.tmp
- C:\androidemulatorex.exe
- %TEMP%\autdaec.tmp
- C:\config.ini
- %TEMP%\autdafd.tmp
- %TEMP%\autdb0e.tmp
Удаляет файлы, которые сам же создал
- %TEMP%\autd05b.tmp
- %TEMP%\autd4f0.tmp
- %TEMP%\autdaec.tmp
- %TEMP%\autdafd.tmp
- %TEMP%\autdb0e.tmp
Сетевая активность
TCP
Другие
- '15#.#01.65.91':443
UDP
- DNS ASK fi#####.###tings.services.mozilla.com
Другое
Создает и запускает на исполнение
- 'C:\androidemulatorex.exe' -vm 100
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set privateprofile state off (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c netsh advfirewall set publicprofile state off (со скрытым окном)
