Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*MalwareBytes0' = '"%ALLUSERSPROFILE%\MalwareBytes0\acrotray.exe"'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.Pv5y7
- <SYSTEM32>\Firewall.cpl.bvIcj
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%ALLUSERSPROFILE%\MalwareBytes0\regmon.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\MalwareBytes0\regmon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\MalwareBytes0\regmon.exe
Удаляет следующие файлы:
- <SYSTEM32>\xRQKfVRaqcUxc
- <SYSTEM32>\lmeKVxeTiuWqXkJlpJWe
Перемещает следующие системные файлы:
- <SYSTEM32>\UOOFHdCOCh`iqFBQ в <SYSTEM32>\KVcNKQewloTnGUu
- <SYSTEM32>\KVcNKQewloTnGUu в <SYSTEM32>\ndWpcKWJWvIZAxLEB
- <SYSTEM32>\ndWpcKWJWvIZAxLEB в <SYSTEM32>\eXsFXRegtRmUzoiVm
- <SYSTEM32>\mmc.exe.Pv5y7 в <SYSTEM32>\UOOFHdCOCh`iqFBQ
- <SYSTEM32>\TgJTeRQRODSDLSsxEBrtX в <SYSTEM32>\CMEGZZVjemHYhHPMfHMCG
- <SYSTEM32>\CMEGZZVjemHYhHPMfHMCG в <SYSTEM32>\lmeKVxeTiuWqXkJlpJWe
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.Pv5y7
- <SYSTEM32>\eXsFXRegtRmUzoiVm в <SYSTEM32>\GoxaQsqXHYgKwHcvo
- <SYSTEM32>\VLNPBXldCLDzP в <SYSTEM32>\zACGHHdSMIPToc
- <SYSTEM32>\zACGHHdSMIPToc в <SYSTEM32>\dmQDwVpCoYRIuq
- <SYSTEM32>\dmQDwVpCoYRIuq в <SYSTEM32>\xRQKfVRaqcUxc
- <SYSTEM32>\wBxCEFGNyVmhbcrsh в <SYSTEM32>\VLNPBXldCLDzP
- <SYSTEM32>\GoxaQsqXHYgKwHcvo в <SYSTEM32>\kuHPhLzbYwucgCT
- <SYSTEM32>\kuHPhLzbYwucgCT в <SYSTEM32>\cLWtVMBjFdSBZLx
- <SYSTEM32>\cLWtVMBjFdSBZLx в <SYSTEM32>\wBxCEFGNyVmhbcrsh
- <SYSTEM32>\yKqnkMifGXFFgpGkQWzF в <SYSTEM32>\TgJTeRQRODSDLSsxEBrtX
- <SYSTEM32>\VAdZxBAfqUotwyBlwxqw в <SYSTEM32>\PHKBURlNnjZnOlsBbixXq
- <SYSTEM32>\PHKBURlNnjZnOlsBbixXq в <SYSTEM32>\HxjsJlqcMFdznZckbDkP
- <SYSTEM32>\HxjsJlqcMFdznZckbDkP в <SYSTEM32>\eOxGoXqVwJwxTzXAcJobAU
- <SYSTEM32>\ZhvAAraGfVdyIVRGeYGC в <SYSTEM32>\VAdZxBAfqUotwyBlwxqw
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.bvIcj
- <SYSTEM32>\Firewall.cpl.bvIcj в <SYSTEM32>\SdiFOvIzkKEoEhwdnX
- <SYSTEM32>\SdiFOvIzkKEoEhwdnX в <SYSTEM32>\ZhvAAraGfVdyIVRGeYGC
- <SYSTEM32>\eOxGoXqVwJwxTzXAcJobAU в <SYSTEM32>\zuozpuosLRqcoboCoLpJ
- <SYSTEM32>\zRUtzhKbTxbykugbimCM в <SYSTEM32>\dYxJYlSAwQjQosnKnAB
- <SYSTEM32>\dYxJYlSAwQjQosnKnAB в <SYSTEM32>\DJraSubdzOHQlVcVyFvG
- <SYSTEM32>\DJraSubdzOHQlVcVyFvG в <SYSTEM32>\yKqnkMifGXFFgpGkQWzF
- <SYSTEM32>\jTWqKQOWbWVnwtSBWrQ в <SYSTEM32>\zRUtzhKbTxbykugbimCM
- <SYSTEM32>\zuozpuosLRqcoboCoLpJ в <SYSTEM32>\SkEXI@YCVPzuKXiPlknx
- <SYSTEM32>\SkEXI@YCVPzuKXiPlknx в <SYSTEM32>\ZfOgIYQFUBcPzXmutvFqGZ
- <SYSTEM32>\ZfOgIYQFUBcPzXmutvFqGZ в <SYSTEM32>\jTWqKQOWbWVnwtSBWrQ
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\MalwareBytes0\acrotray.exe
Сетевая активность:
Подключается к:
- 'xt######igital-network.info':80
TCP:
Запросы HTTP POST:
- xt######igital-network.info/xpro/lod/page.php
UDP:
- DNS ASK xt######igital-network.info
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
