Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Cuas' = '"%APPDATA%\Udde\cuas.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Создает и запускает на исполнение:
- '%APPDATA%\Udde\cuas.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\GTKCC7B.bat
- <LS_APPDATA>\ecavfu.muy
- %APPDATA%\Udde\cuas.exe
Сетевая активность:
UDP:
- '86.##1.173.41':3530
- '11#.#2.64.125':4644
- '36.#.242.186':9592
- '84.##.129.23':7605
- '14#.#8.196.106':2938
- '75.##.179.220':5628
- '17#.#05.71.59':7034
- '21#.#20.161.188':6705
- '19#.#94.74.13':3855
- '99.#2.33.76':2182
- '16#.#38.73.112':3373
- '68.##0.157.165':5647
- '19#.#7.166.82':7144
- '58.##5.131.158':6894
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
