Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe' = '%PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe:*:Enabled:DualDesk-Server'
Создает и запускает на исполнение:
- '%TEMP%\nsl5.tmp\nsB.tmp' "sc.exe" delete DD_CAD
- '%TEMP%\nsl5.tmp\nsA.tmp' "sc.exe" delete DD_Service
- '%TEMP%\nsl5.tmp\nsD.tmp' "netsh.exe" firewall add allowedprogram "%PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe" "DualDesk-Server" ENABLE
- '%TEMP%\nsl5.tmp\nsC.tmp' "netsh.exe" firewall add allowedprogram "%PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe" "DualDesk-Server" ENABLE ALL
- '%TEMP%\nsl5.tmp\ns9.tmp' "net.exe" stop DD_CAD
- '%TEMP%\nsl5.tmp\ns6.tmp' "sc.exe" stop DD_Service
- '%TEMP%\nsu3.tmp\DD_50.79.128.233_5500.exe' /337129532031057173213_Sentry Surveillance/0
- '%TEMP%\nsl5.tmp\ns8.tmp' "net.exe" stop DD_Service
- '%TEMP%\nsl5.tmp\ns7.tmp' "sc.exe" stop DD_CAD
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' delete DD_Service
- '<SYSTEM32>\net1.exe' stop DD_CAD
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe" "DualDesk-Server" ENABLE ALL
- '<SYSTEM32>\sc.exe' delete DD_CAD
- '<SYSTEM32>\net.exe' stop DD_CAD
- '<SYSTEM32>\sc.exe' stop DD_CAD
- '<SYSTEM32>\sc.exe' stop DD_Service
- '<SYSTEM32>\net1.exe' stop DD_Service
- '<SYSTEM32>\net.exe' stop DD_Service
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\DD20.4.8201312231945\Flag.txt
- %PROGRAM_FILES%\DD20.4.8201312231945\UnDD.txt
- %PROGRAM_FILES%\DD20.4.8201312231945\DD.txt
- %TEMP%\nsl5.tmp\nsA.tmp
- %TEMP%\nsl5.tmp\nsB.tmp
- %TEMP%\nsl5.tmp\DualDesk.exe
- %TEMP%\nsl5.tmp\nsC.tmp
- %TEMP%\nsl5.tmp\nsD.tmp
- %PROGRAM_FILES%\DD20.4.8201312231945\DDuninst.exe
- %TEMP%\nsl5.tmp\cad.exe
- %TEMP%\nsl5.tmp\ddUninst.exe
- %TEMP%\nsl5.tmp\ns9.tmp
- %TEMP%\nsisdt.dll
- %PROGRAM_FILES%\DD20.4.8201312231945\Advantig.txt
- %TEMP%\DDreRun\DD_50.79.128.233_5500.exe
- %TEMP%\nst2.tmp
- %TEMP%\DDreRun\DDreRun.dat
- %HOMEPATH%\Start Menu\Programs\Administrative Tools\desktop.ini
- %TEMP%\nsl5.tmp\ns7.tmp
- %TEMP%\nsl5.tmp\ns8.tmp
- %TEMP%\nsl5.tmp\ns6.tmp
- %HOMEPATH%\My Documents\My Videos\Desktop.ini
- %TEMP%\nsl5.tmp\nsExec.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\My Documents\My Videos\Desktop.ini
Удаляет следующие файлы:
- %PROGRAM_FILES%\DD20.4.8201312231945\DD.txt
- %TEMP%\nsl5.tmp\nsB.tmp
- %TEMP%\nsl5.tmp\nsA.tmp
- %TEMP%\nsl5.tmp\nsC.tmp
- %PROGRAM_FILES%\DD20.4.8201312231945\Flag.txt
- %PROGRAM_FILES%\DD20.4.8201312231945\UnDD.txt
- %TEMP%\nsl5.tmp\ns6.tmp
- %PROGRAM_FILES%\DD20.4.8201312231945\Advantig.txt
- %TEMP%\nsisdt.dll
- %TEMP%\nsl5.tmp\ns9.tmp
- %TEMP%\nsl5.tmp\ns8.tmp
- %TEMP%\nsl5.tmp\ns7.tmp
Перемещает следующие файлы:
- %TEMP%\nsl5.tmp\ddUninst.exe в %PROGRAM_FILES%\DD20.4.8201312231945\Uninst.exe
- %TEMP%\nsu3.tmp\ddHelper.exe в %PROGRAM_FILES%\DD20.4.8201312231945\DDHelper.exe
- %TEMP%\nsl5.tmp\DualDesk.exe в %PROGRAM_FILES%\DD20.4.8201312231945\DualDesk.exe
- %TEMP%\DDreRun\DD_50.79.128.233_5500.exe в %PROGRAM_FILES%\DD20.4.8201312231945\DD_50.79.128.233_5500.exe
- %TEMP%\DDreRun\DDreRun.dat в %PROGRAM_FILES%\DD20.4.8201312231945\DDreRun.dat
- %TEMP%\nsu3.tmp\DD.txt в %PROGRAM_FILES%\DD20.4.8201312231945\DD.txt
- %TEMP%\nsu3.tmp\Icon1.ico в %PROGRAM_FILES%\DD20.4.8201312231945\icon1.ico
- %TEMP%\nsu3.tmp\Logo.bmp в %PROGRAM_FILES%\DD20.4.8201312231945\Logo.bmp
- %TEMP%\nsu3.tmp\Icon2.ico в %PROGRAM_FILES%\DD20.4.8201312231945\icon2.ico
- %TEMP%\nsu3.tmp\Ring.wav в %PROGRAM_FILES%\DD20.4.8201312231945\Ring.wav
- %TEMP%\nsu3.tmp\Blank.bmp в %PROGRAM_FILES%\DD20.4.8201312231945\Blank.bmp
Другое:
Ищет следующие окна:
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'DualDesk desktop sink' WindowName: '(null)'
