Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PCL2' = '%ALLUSERSPROFILE%\PCL2.exe'
Создает или изменяет следующие файлы
- <SYSTEM32>\tasks\pcl2
- %APPDATA%\microsoft\windows\start menu\programs\startup\pcl2.lnk
Вредоносные функции
Патчит код
в динамической библиотеке NTDLL
- Процесс pcl2.exe, модуль ntdll.dll
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\pcl2.exe
- %LOCALAPPDATA%\microsoft\clr_v4.0_32\usagelogs\pcl2.exe.log
Сетевая активность
Подключается к
- '82.##8.88.101':7000
UDP
- DNS ASK ip##pi.com
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\pcl2.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\schtasks.exe' /create /f /RL HIGHEST /sc minute /mo 1 /tn "PCL2" /tr "%ALLUSERSPROFILE%\PCL2.exe" (со скрытым окном)
