Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Rundlls' = '%PROGRAM_FILES%\Rundllsr.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Javaserv' = '%APPDATA%\Install\servs.exe'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{0HMC18LG-5135-41SA-5I8P-V4R85O85T73Q}] 'StubPath' = '"%APPDATA%\Install\servs.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe, %PROGRAM_FILES%\Rundllsr.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Rundlls' = '%PROGRAM_FILES%\Rundllsr.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Rundlls' = '%PROGRAM_FILES%\Rundllsr.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe, %PROGRAM_FILES%\Rundllsr.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Install\servs.exe' -m %TEMP%\iexplorer.exe
- '%APPDATA%\Install\servs.exe'
- '%TEMP%\iexplorer.exe'
- '%TEMP%\syslogsh.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Install\servs.exe
- %PROGRAM_FILES%\Rundllsr.exe
- %APPDATA%\Install\.Identifier
- %TEMP%\iexplorer.exe
- %TEMP%\syslogsh.exe
- %TEMP%\.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\Rundllsr.exe
Сетевая активность:
Подключается к:
- 'sh####minded.com':13579
UDP:
- DNS ASK sh####minded.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
