Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %APPDATA%\microsoft\windows\start menu\programs\startup\turtlekey.lnk
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- regasm.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\store.mov
- %TEMP%\ixp000.tmp\paragraph
- %TEMP%\ixp000.tmp\let
- %TEMP%\ixp000.tmp\nude
- %TEMP%\ixp000.tmp\departments
- %TEMP%\ixp000.tmp\compare.mov
- %TEMP%\ixp000.tmp\263660\thickness.exe
- %TEMP%\ixp000.tmp\263660\w
- %LOCALAPPDATA%\guardkey solutions\b
- %LOCALAPPDATA%\guardkey solutions\turtlekey.exe
- %LOCALAPPDATA%\guardkey solutions\turtlekey.lnk
- %TEMP%\ixp000.tmp\263660\regasm.exe
Удаляет файлы, которые сам же создал
- %TEMP%\ixp000.tmp\compare.mov
- %TEMP%\ixp000.tmp\departments
- %TEMP%\ixp000.tmp\nude
- %TEMP%\ixp000.tmp\let
- %TEMP%\ixp000.tmp\paragraph
- %TEMP%\ixp000.tmp\store.mov
- %TEMP%\ixp000.tmp\263660\thickness.exe
- %TEMP%\ixp000.tmp\263660\w
Сетевая активность
Подключается к
- '14#.#03.116.128':8443
UDP
- DNS ASK zn########iXtULkf.znamfmPwbmiXtULkf
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\263660\thickness.exe' w
- '%TEMP%\ixp000.tmp\263660\regasm.exe'
Запускает на исполнение
- '<SYSTEM32>\dllhost.exe' /Ijud774873248jfjkskd84 (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /c xOTmN & type Compare.mov | %comspec% (со скрытым окном)
- '<SYSTEM32>\cmd.exe' /S /D /c" type Compare.mov "
- '<SYSTEM32>\cmd.exe'
- '<SYSTEM32>\findstr.exe' /V "charms" Departments
