Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '5b0c258c30fb6a59575299981385a446' = '"%HOMEPATH%\Process Hacker 2.exe" ..'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '5b0c258c30fb6a59575299981385a446' = '"%HOMEPATH%\Process Hacker 2.exe" ..'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\5b0c258c30fb6a59575299981385a446.exe
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\5b0c258c30fb6a59575299981385a446.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%HOMEPATH%\Process Hacker 2.exe' = '%HOMEPATH%\Process Hacker 2.exe:*:Enabled:Process Hacker 2.exe'
Создает и запускает на исполнение:
- '%TEMP%\_av_iup.tm~a02888\instup.exe' /sfx /sfx_type:lite /sfxstorage:"%TEMP%\_av_iup.tm~a02888" /edition:1 /prod:ais
- '%HOMEPATH%\Process Hacker 2.exe'
- '%TEMP%\ser.exe'
- '%TEMP%\avast_free_antivirus_setup_online.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%HOMEPATH%\Process Hacker 2.exe" "Process Hacker 2.exe" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\_av_iup.tm~a02888\prod-vps.vpx
- %TEMP%\_av_iup.tm~a02888\servers.def
- %TEMP%\_av_iup.tm~a02888\prod-ais.vpx
- %TEMP%\_av_iup.tm~a02888\part-setup_ais-7e2.vpx
- %TEMP%\_av_iup.tm~a02888\part-vps_win32-14041700.vpx
- %TEMP%\_av_iup.tm~a02888\setgui_ais-7e2.vpx
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new
- %TEMP%\_av_iup.tm~a02888\aswSetupOffers.def.dld
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new
- %TEMP%\_av_iup.tm~a02888\HTMLayout.dll
- %TEMP%\_av_iup.tm~a02888\instup.exe
- %TEMP%\_av_iup.tm~a02888\part-prg_ais-7e2.vpx
- %TEMP%\_av_iup.tm~a02888\avbugreport_ais-7e2.vpx
- %TEMP%\_av_iup.tm~a02888\avBugReport.exe
- %ALLUSERSPROFILE%\Application Data\AVAST Software\Persistent Data\Avast\Logs\Setup.log
- %TEMP%\ser.exe
- %TEMP%\avast_free_antivirus_setup_online.exe
- %TEMP%\_av_iup.tm~a02888\instcont_ais-7e2.vpx
- %TEMP%\_av_iup.tm~a02888\part-iex-1.vpx
- %TEMP%\_av_iup.tm~a02888\part-jrog2-a16.vpx
- %HOMEPATH%\Process Hacker 2.exe
- %TEMP%\_av_iup.tm~a02888\instup_ais-7e2.vpx
- %TEMP%\_av_iup.tm~a02888\Instup.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\5b0c258c30fb6a59575299981385a446.exe
Удаляет следующие файлы:
- %TEMP%\_av_iup.tm~a02888\servers.def.vpx
- %TEMP%\_av_iup.tm~a02888\aswSetupOffers.def
Перемещает следующие файлы:
- %TEMP%\_av_iup.tm~a02888\aswSetupOffers.def.dld в %TEMP%\_av_iup.tm~a02888\aswSetupOffers.def
- %TEMP%\_av_iup.tm~a02888\servers.def.vpx.dld в %TEMP%\_av_iup.tm~a02888\servers.def.vpx
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\security.config.cch
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch.new в %WINDIR%\Microsoft.NET\Framework\v2.0.50727\CONFIG\enterprisesec.config.cch
Сетевая активность:
Подключается к:
- 's9######.iavs9x.u.avast.com':80
- 'ka#####akeer.no-ip.org':1177
- 'pr####m.avast.com':80
TCP:
Запросы HTTP GET:
- s9######.iavs9x.u.avast.com/iavs9x/servers.def.vpx
- pr####m.avast.com/setupoffers.def
UDP:
- DNS ASK x6######.iavs9x.u.avast.com
- DNS ASK w8######.iavs9x.u.avast.com
- DNS ASK d4######.iavs9x.u.avast.com
- DNS ASK t9######.iavs9x.u.avast.com
- DNS ASK t6######.iavs9x.u.avast.com
- DNS ASK ka#####akeer.no-ip.org
- DNS ASK pr####m.avast.com
- DNS ASK d9######.iavs9x.u.avast.com
- DNS ASK s9######.iavs9x.u.avast.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
