Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\winpwrmng] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\taskmng.exe'
- '%APPDATA%\Roaming\WinPowerService.exe'
- '%WINDIR%\InstallUtil.exe' %APPDATA%\Roaming\WinPowerService.exe
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start winpwrmng
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\sc.exe' query winpwrmng
- '<SYSTEM32>\find.exe' "RUNNING"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\WinPowerService.InstallLog
- %APPDATA%\Roaming\WinPowerService.InstallState
- <LS_APPDATA>\Microsoft\Windows\Temporary Internet Files\BayanTelefonListesi.exe
- <Текущая директория>\InstallUtil.InstallLog
- %WINDIR%\InstallUtil.exe
- %APPDATA%\Roaming\taskmng.exe
- %APPDATA%\Roaming\WinPowerService.exe
Удаляет следующие файлы:
- <Текущая директория>\InstallUtil.InstallLog
- %APPDATA%\Roaming\WinPowerService.InstallLog
Сетевая активность:
Подключается к:
- '21#.#36.92.3':8500
- '21#.#36.92.2':8500
UDP:
- DNS ASK dn#.##ftncsi.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebCheckMonitor' WindowName: '(null)'
- ClassName: 'OleMainThreadWndClass' WindowName: '(null)'
- ClassName: 'MouseZ' WindowName: 'Magellan MSWHEEL'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
