Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\midimap.dll файлом <SYSTEM32>\dllcache\midimap.dll
- <SYSTEM32>\midimap.dll файлом <SYSTEM32>\midimap.dll
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' stop cryptsvc
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\sc.exe' delete cryptsvc
- '<SYSTEM32>\net.exe' stop cryptsvc
- '<SYSTEM32>\sc.exe' config cryptsvc start= disabled
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\gIDj4iZha1a2VOd.dll
- %TEMP%\34qX7eFgjrbLMhq.dll
- %TEMP%\MxB8aC6OqpaD6pN.dll
- %TEMP%\b324RogeEgegGi2.dll
- %TEMP%\2OAetYO56rfUnGG.dll
- %TEMP%\Y7InIIjHw3ePuvR.dll
- %TEMP%\sgJN03Rbg8f7RUg.dll
- %TEMP%\7e9CqeGj5ydabMK.dll
- %TEMP%\Td78gOx7Zpc4fFx.dll
- %TEMP%\nC8c9ueQK1ds5oD.dll
- <SYSTEM32>\ksuser.dll
- <SYSTEM32>\dllcache\ksuser.dll
- <SYSTEM32>\yumidimap.dll
- <SYSTEM32>\CRNJEUFU20.dll
- <SYSTEM32>\CRNJEUFU.ime
- %TEMP%\xuysIRbmddd9Qbm.dll
- %TEMP%\HT0Tk456Tidxx9t.dll
- %TEMP%\a9K4Ecp3ifcpgWf.dll
- %TEMP%\p8405EW40caI5OC.dll
- %TEMP%\Ah5aey7cyab7NxJ.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\CRNJEUFU20.dll
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\midimap.dll
- <SYSTEM32>\dllcache\midimap.dll
Самоперемещается:
- из <Полный путь к вирусу> в C:\RECYCLER\175984.tmp
Другое:
Ищет следующие окна:
- ClassName: 'CicLoaderWndClass' WindowName: ''
