Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\zmserv] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\zmserv] 'ImagePath' = '<Текущая директория>\zmserv.exe'
- [HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT] 'Start' = '00000002'
Создает следующие сервисы
- 'zmserv' <Текущая директория>\zmserv.exe
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off
- '<SYSTEM32>\net.exe' stop zmserv
Изменения в файловой системе
Создает следующие файлы
- <DRIVERS>\etc\hosts2
Сетевая активность
TCP
Другие
- '15#.#01.1.91':443
Другое
Запускает на исполнение
- '<SYSTEM32>\sc.exe' create zmserv binPath= <Текущая директория>\zmserv.exe start= auto (со скрытым окном)
- '<SYSTEM32>\net.exe' start zmserv (со скрытым окном)
- '<SYSTEM32>\net1.exe' start zmserv
- '<SYSTEM32>\net1.exe' stop zmserv
- '<SYSTEM32>\netsh.exe' advfirewall set allprofiles state off (со скрытым окном)
- '<SYSTEM32>\net.exe' stop zmserv (со скрытым окном)
