Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\AccessRemotePC5.2\shell\open\command] '' = '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe "%1" /client'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Access Remote PC Service 5.2] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe' = '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe:*:Enabled:Access Remote PC'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe' = '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe:*:Enabled:Access Remote PC'
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Access Remote PC 5.2\rpcgrab.exe'
- '%PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe' /service
- '%TEMP%\1.tmp\rpcsetup.exe' /install /silent /noshortcuts /hideicon /user 1 /pass 1
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\run.cmd" <Текущая директория>\"
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: '(null)'
- ClassName: 'RegMonClass' WindowName: '(null)'
- ClassName: 'FileMonClass' WindowName: '(null)'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Access Remote PC 5.2\uninstall.lnk
- %PROGRAM_FILES%\Access Remote PC 5.2\server.lnk
- %PROGRAM_FILES%\Access Remote PC 5.2\client.lnk
- %PROGRAM_FILES%\Access Remote PC 5.2\log.txt
- %ALLUSERSPROFILE%\Application Data\TEMP:12DCF8FC
- %PROGRAM_FILES%\Access Remote PC 5.2\standalone server.lnk
- %PROGRAM_FILES%\Access Remote PC 5.2\rpcsetup.exe
- %TEMP%\1.tmp\rpcsetup.exe
- %TEMP%\1.tmp\run.cmd
- %PROGRAM_FILES%\Access Remote PC 5.2\license.txt
- %PROGRAM_FILES%\Access Remote PC 5.2\manual.chm
- %PROGRAM_FILES%\Access Remote PC 5.2\rpcgrab.exe
Удаляет следующие файлы:
- %TEMP%\1.tmp\run.cmd
- %TEMP%\1.tmp\rpcsetup.exe
Сетевая активность:
UDP:
- '<IP-адрес в локальной сети>':34012
Другое:
Ищет следующие окна:
- ClassName: 'ThunderRT6FormDC' WindowName: '(null)'
- ClassName: 'ThunderRT6FormDC' WindowName: 'Shareware Cheater v 3.0'
