Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'Startup' = 'WLEventStartup'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'Logon' = 'WLEventLogon'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ipnp] 'DllName' = 'ipnp.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\FastUserSwitchingCompatibility] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\TermService] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\netaservice] 'Start' = '00000002'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\csrsrv.dll файлом <SYSTEM32>\csrsrv.dll
- <SYSTEM32>\winscard.dll файлом <SYSTEM32>\winscard.dll
- <SYSTEM32>\msgina.dll файлом <SYSTEM32>\msgina.dll
- <SYSTEM32>\winlogon.exe файлом <SYSTEM32>\winlogon.exe
- <SYSTEM32>\termsrv.dll файлом <SYSTEM32>\termsrv.dll
Заражает следующие исполняемые файлы:
- <SYSTEM32>\csrsrv.dll
- <SYSTEM32>\winscard.dll
- <SYSTEM32>\msgina.dll
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\termsrv.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\nsn2.tmp\nsC.tmp' "taskkill.exe" /f /fi "modules eq termsrv.dll"
- '%TEMP%\nsn2.tmp\nsD.tmp' "net.exe" stop SCardSvr /y
- '%TEMP%\nsn2.tmp\nsE.tmp' "%TEMP%\tmp3.exe" "<SYSTEM32>\termsrv.dll" "<SYSTEM32>\winlogon.exe" "<SYSTEM32>\msgina.dll" "<SYSTEM32>\csrsrv.dll" "<SYSTEM32>\winscard.dll"
- '<SYSTEM32>\System\wmiadap.exe'
- '<SYSTEM32>\System\wmiprvse.exe' /tray
- '%TEMP%\nsn2.tmp\nsB.tmp' "sc.exe" failure dcomlaunch reset= 60 actions= ""
- '%TEMP%\nsn2.tmp\ns16.tmp' "sc.exe" config fastuserswitchingcompatibility start= auto
- '%TEMP%\nsn2.tmp\ns17.tmp' "net.exe" start fastuserswitchingcompatibility /y
- '%TEMP%\nsn2.tmp\ns18.tmp' "net.exe" start SCardSvr /y
- '%TEMP%\tmp3.exe' "<SYSTEM32>\termsrv.dll" "<SYSTEM32>\winlogon.exe" "<SYSTEM32>\msgina.dll" "<SYSTEM32>\csrsrv.dll" "<SYSTEM32>\winscard.dll"
- '%TEMP%\nsn2.tmp\ns14.tmp' "sc.exe" config TermService start= auto
- '%TEMP%\nsn2.tmp\ns15.tmp' "net.exe" start TermService /y
- '%TEMP%\nsn2.tmp\ns6.tmp' cmd /c sc delete netaservice /y
- '%TEMP%\nsn2.tmp\ns7.tmp' cmd /c taskkill /f /t /im wmiadap.exe
- '%TEMP%\nsn2.tmp\ns8.tmp' cmd /c tskill wmiadap
- '%TEMP%\nsn2.tmp\ns3.tmp' cmd /c net stop rmanservice /y
- '%TEMP%\nsn2.tmp\ns4.tmp' cmd /c net stop netaservice /y
- '%TEMP%\nsn2.tmp\ns5.tmp' cmd /c sc delete rmanservice /y
- '<SYSTEM32>\System\wmiadap.exe' /silentinstall
- '<SYSTEM32>\System\wmiadap.exe' /firewall
- '<SYSTEM32>\System\wmiadap.exe' /start
- '%TEMP%\nsn2.tmp\ns9.tmp' cmd /c tskill wmiprvse
- '%TEMP%\nsn2.tmp\nsA.tmp' %TEMP%\tmp2.exe x %TEMP%\tmp1 -p202cb962ac59075b964b07152d234b70 -o"<SYSTEM32>\System" -aoa
- '%TEMP%\tmp2.exe' x %TEMP%\tmp1 -p202cb962ac59075b964b07152d234b70 -o"<SYSTEM32>\System" -aoa
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start TermService /y
- '<SYSTEM32>\svchost.exe' -k DComLaunch
- '<SYSTEM32>\sc.exe' config TermService start= auto
- '<SYSTEM32>\net.exe' stop SCardSvr /y
- '<SYSTEM32>\net1.exe' stop SCardSvr /y
- '<SYSTEM32>\cmd.exe' /c 1.bat
- '<SYSTEM32>\chcp.com' 1251
- '<SYSTEM32>\net1.exe' start SCardSvr /y
- '<SYSTEM32>\sc.exe' config fastuserswitchingcompatibility start= auto
- '<SYSTEM32>\net1.exe' start fastuserswitchingcompatibility /y
- '<SYSTEM32>\taskkill.exe' /f /fi "modules eq termsrv.dll"
- '<SYSTEM32>\net1.exe' stop netaservice /y
- '<SYSTEM32>\sc.exe' delete rmanservice /y
- '<SYSTEM32>\net.exe' stop netaservice /y
- '<SYSTEM32>\net.exe' stop rmanservice /y
- '<SYSTEM32>\net1.exe' stop rmanservice /y
- '<SYSTEM32>\tskill.exe' wmiprvse
- '<SYSTEM32>\sc.exe' failure dcomlaunch reset= 60 actions= ""
- '<SYSTEM32>\tskill.exe' wmiadap
- '<SYSTEM32>\sc.exe' delete netaservice /y
- '<SYSTEM32>\taskkill.exe' /f /t /im wmiadap.exe
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\temporaryfile.dll
- %TEMP%\nsn2.tmp\VPatch.dll
- <SYSTEM32>\temporaryfile.exe
- %TEMP%\nsn2.tmp\nsq10.tmp
- %TEMP%\tmp3
- %TEMP%\nsn2.tmp\nsD.tmp
- %TEMP%\nsn2.tmp\nszF.tmp
- %TEMP%\nsn2.tmp\nsE.tmp
- %TEMP%\nsn2.tmp\nsw11.tmp
- %TEMP%\nsn2.tmp\ns17.tmp
- %TEMP%\nsn2.tmp\ns16.tmp
- %TEMP%\1.bat
- %TEMP%\nsn2.tmp\ns18.tmp
- %TEMP%\nsn2.tmp\nsy13.tmp
- %TEMP%\nsn2.tmp\nsx12.tmp
- %TEMP%\nsn2.tmp\ns15.tmp
- %TEMP%\nsn2.tmp\ns14.tmp
- %TEMP%\nsn2.tmp\ns6.tmp
- %TEMP%\nsn2.tmp\ns5.tmp
- %TEMP%\nsn2.tmp\ns8.tmp
- %TEMP%\nsn2.tmp\ns7.tmp
- %TEMP%\nsn2.tmp\nsExec.dll
- %TEMP%\nsn2.tmp\UserInfo.dll
- %TEMP%\nsn2.tmp\ns4.tmp
- %TEMP%\nsn2.tmp\ns3.tmp
- %TEMP%\nsn2.tmp\ns9.tmp
- %TEMP%\nsn2.tmp\System.dll
- <SYSTEM32>\System\wmiprvse.exe
- %TEMP%\nsn2.tmp\nsC.tmp
- %TEMP%\nsn2.tmp\nsB.tmp
- %TEMP%\tmp2
- %TEMP%\tmp1
- <SYSTEM32>\System\wmiadap.exe
- %TEMP%\nsn2.tmp\nsA.tmp
Удаляет следующие файлы:
- %TEMP%\nsn2.tmp\nsx12.tmp
- %TEMP%\nsn2.tmp\nsw11.tmp
- %TEMP%\nsn2.tmp\ns14.tmp
- %TEMP%\nsn2.tmp\nsy13.tmp
- <SYSTEM32>\dllcache\winscard.dll
- <SYSTEM32>\dllcache\winlogon.exe
- %TEMP%\nsn2.tmp\nsq10.tmp
- %TEMP%\nsn2.tmp\nszF.tmp
- %TEMP%\nsn2.tmp\System.dll
- %TEMP%\nsn2.tmp\nsExec.dll
- %TEMP%\nsn2.tmp\VPatch.dll
- %TEMP%\nsn2.tmp\UserInfo.dll
- %TEMP%\nsn2.tmp\ns16.tmp
- %TEMP%\nsn2.tmp\ns15.tmp
- %TEMP%\nsn2.tmp\ns18.tmp
- %TEMP%\nsn2.tmp\ns17.tmp
- %TEMP%\nsn2.tmp\ns8.tmp
- %TEMP%\nsn2.tmp\ns7.tmp
- %TEMP%\nsn2.tmp\nsA.tmp
- %TEMP%\nsn2.tmp\ns9.tmp
- %TEMP%\nsn2.tmp\ns4.tmp
- %TEMP%\nsn2.tmp\ns3.tmp
- %TEMP%\nsn2.tmp\ns6.tmp
- %TEMP%\nsn2.tmp\ns5.tmp
- <SYSTEM32>\dllcache\csrsrv.dll
- %TEMP%\tmp3.exe
- <SYSTEM32>\dllcache\msgina.dll
- <SYSTEM32>\dllcache\termsrv.dll
- %TEMP%\nsn2.tmp\nsC.tmp
- %TEMP%\nsn2.tmp\nsB.tmp
- %TEMP%\nsn2.tmp\nsE.tmp
- %TEMP%\nsn2.tmp\nsD.tmp
Перемещает следующие системные файлы:
- <SYSTEM32>\csrsrv.dll в <SYSTEM32>\csrsrv.tmp
- <SYSTEM32>\winscard.dll в <SYSTEM32>\winscard.tmp
- <SYSTEM32>\msgina.dll в <SYSTEM32>\msgina.tmp
- <SYSTEM32>\winlogon.exe в <SYSTEM32>\winlogon.tmp
- <SYSTEM32>\termsrv.dll в <SYSTEM32>\termsrv.tmp
Перемещает следующие файлы:
- <SYSTEM32>\temporaryfile.dll в <SYSTEM32>\msgina.dll
- <SYSTEM32>\temporaryfile.dll в <SYSTEM32>\csrsrv.dll
- <SYSTEM32>\temporaryfile.dll в <SYSTEM32>\winscard.dll
- <SYSTEM32>\temporaryfile.exe в <SYSTEM32>\winlogon.exe
- %TEMP%\tmp2 в %TEMP%\tmp2.exe
- %TEMP%\tmp3 в %TEMP%\tmp3.exe
- <SYSTEM32>\temporaryfile.dll в <SYSTEM32>\termsrv.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ru##ls.com':563
- 'ru##ls.com':5655
- 'ru##ls.com':80
TCP:
Запросы HTTP GET:
- ru##ls.com/utils/inet_id_notify.php?te####
Запросы HTTP POST:
- ru##ls.com/utils/inet_id_notify.php
UDP:
- DNS ASK se####.rutils.com
- DNS ASK ru##ls.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '(null)'
