Техническая информация
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\resmon.exe
- %WINDIR%\syswow64\fondue.exe
- %WINDIR%\syswow64\makecab.exe
- %WINDIR%\syswow64\fontview.exe
- %WINDIR%\syswow64\openwith.exe
- %WINDIR%\syswow64\fc.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\resmon.exe
- %WINDIR%\syswow64\fondue.exe
- %WINDIR%\syswow64\makecab.exe
- %WINDIR%\syswow64\fontview.exe
- %WINDIR%\syswow64\openwith.exe
Изменения в файловой системе
Создает следующие файлы
- <Текущая директория>\lol»»·ôöúêörxelyjmn.exe
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\history\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\smartscreencache.dat
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\<INETFILES>\msimgsiz.dat
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\inethistory\desktop.ini
- %LOCALAPPDATA%\packages\windows_ie_ac_001\ac\<INETFILES>\smartscreencache.dat
Удаляет следующие системные файлы
- %WINDIR%\servicestate\winhttpautoproxysvc\data\cachev3.dat
Изменяет следующие файлы
- %LOCALAPPDATA%\microsoft\vault\userprofileroaming\latest.dat
Самоудаляется.
Сетевая активность
Подключается к
- 'sh##o.im':443
TCP
Другие
- 'sh##o.im':443
UDP
- DNS ASK sh##o.im
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\fc.exe'
- '%WINDIR%\syswow64\rundll32.exe' InetCpl.cpl,ClearMyTracksByProcess 255 (со скрытым окном)
- '%ProgramFiles(x86)%\internet explorer\iexplore.exe' -ResetDestinationList
- '%WINDIR%\syswow64\rundll32.exe' <SYSTEM32>\inetcpl.cpl,ClearMyTracksByProcess Flags:255 WinX:0 WinY:0 IEFrame:00000000
