Техническая информация
Для обеспечения автозапуска и распространения
Создает или изменяет следующие файлы
- %WINDIR%\tasks\window manager.job
- <SYSTEM32>\tasks\window manager
Вредоносные функции
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\more.com
- %WINDIR%\syswow64\explorer.exe
Патчит код
в динамической библиотеке
- Процесс kkapwwma.exe, модуль SHELL32.dll
- Процесс kkapwwma.exe, модуль SHDOCVW.dll
- Процесс more.com, модуль SHDOCVW.dll
- Процесс more.com, модуль RPCRT4.dll
в динамической библиотеке NTDLL
- Процесс kkapwwma.exe, модуль ntdll.dll
- Процесс more.com, модуль ntdll.dll
- Процесс explorer.exe, модуль ntdll.dll
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\685224df
- %TEMP%\7259de49
- %TEMP%\itlfhmm
- %ALLUSERSPROFILE%\microsoft\crypto\rsa\s-1-5-18\d42cc0c3858a58db2db37658219e6400_8cf7b530-613e-439b-a8c5-ccfc0e745400
- %TEMP%\efvp
Сетевая активность
Подключается к
- 'st####ommunity.com':443
- '89.##0.92.82':1466
TCP
Другие
- 'st####ommunity.com':443
UDP
- DNS ASK st####ommunity.com
Другое
Запускает на исполнение
- '%WINDIR%\syswow64\more.com'
- '%WINDIR%\syswow64\explorer.exe'
