Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\SYSTEM\CurrentControlSet\Services\AarSvc_7961f7] 'Start' = '00000002'
- [HKLM\SYSTEM\CurrentControlSet\Services\AarSvc_7961f7] 'ImagePath' = 'cmd /c cd /d "<SYSTEM32>" && start "" "%ALLUSERSPROFILE%\MouseTuner\MouseTuner.exe"'
Создает следующие сервисы
- 'AarSvc_7961f7' cmd /c cd /d "<SYSTEM32>" && start "" "%ALLUSERSPROFILE%\MouseTuner\MouseTuner.exe"
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\backgroundtaskhost.exe
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\mousetuner\session.csv
- %ALLUSERSPROFILE%\mousetuner\app.log
- %ALLUSERSPROFILE%\mousetuner\wab.exe
- %ALLUSERSPROFILE%\mousetuner\uftncqk.dll
- %ALLUSERSPROFILE%\mousetuner\cache.pmt
Перемещает следующие файлы
- %ALLUSERSPROFILE%\mousetuner\wab.exe в %ALLUSERSPROFILE%\mousetuner\mousetuner.exe
Сетевая активность
Подключается к
- 'lo###.live.com':443
- '45.###.#.159.360tray.net':8084
TCP
Другие
- 'lo###.live.com':443
- '45.###.#.159.360tray.net':8084
UDP
- DNS ASK lo###.live.com
- DNS ASK 45.###.#.159.360tray.net
Другое
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\mousetuner\mousetuner.exe'
Запускает на исполнение
- '<SYSTEM32>\perceptionsimulation\perceptionsimulationservice.exe'
- '%WINDIR%\syswow64\backgroundtaskhost.exe'
