Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*MngrMedia' = '"%ALLUSERSPROFILE%\MngrMedia\acrotray.exe"'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.K735k
- <SYSTEM32>\Firewall.cpl.X758{
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\MngrMedia\regmon.exe
- %TEMP%\nst2.tmp\lychgate.dll
- %TEMP%\carotid.ar
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\MngrMedia\regmon.exe
Удаляет следующие файлы:
- <SYSTEM32>\WzVglyeQEMXwle
- <SYSTEM32>\czpApRbTNIASGVfcbshrt
- %TEMP%\nst2.tmp\lychgate.dll
Перемещает следующие системные файлы:
- <SYSTEM32>\ZVpDTAjXbyTOCNTb в <SYSTEM32>\twuAoelmzscjHjSE
- <SYSTEM32>\twuAoelmzscjHjSE в <SYSTEM32>\ieLAkDCqJqHhNhoy
- <SYSTEM32>\ieLAkDCqJqHhNhoy в <SYSTEM32>\vHobIAyaNRUJPO
- <SYSTEM32>\PyybklPySfmxpcvFT в <SYSTEM32>\ZVpDTAjXbyTOCNTb
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.K735k
- <SYSTEM32>\mmc.exe.K735k в <SYSTEM32>\YpKcrXebMbFKYGZD
- <SYSTEM32>\YpKcrXebMbFKYGZD в <SYSTEM32>\PyybklPySfmxpcvFT
- <SYSTEM32>\qbiDHPtdVUuduKuNY в <SYSTEM32>\AbWbKXcmmfQCjd
- <SYSTEM32>\AbWbKXcmmfQCjd в <SYSTEM32>\mOrNRcosxVwYyqlGo
- <SYSTEM32>\mOrNRcosxVwYyqlGo в <SYSTEM32>\WzVglyeQEMXwle
- <SYSTEM32>\RrPHKohidhNMa в <SYSTEM32>\qbiDHPtdVUuduKuNY
- <SYSTEM32>\vHobIAyaNRUJPO в <SYSTEM32>\qlByrdaYFDjitLWgv
- <SYSTEM32>\qlByrdaYFDjitLWgv в <SYSTEM32>\aAGKGNsizgGYxCqXR
- <SYSTEM32>\aAGKGNsizgGYxCqXR в <SYSTEM32>\RrPHKohidhNMa
- <SYSTEM32>\IhbspFPoFfYaLggXZa в <SYSTEM32>\hYmiwWtlbaYfaClcXIN
- <SYSTEM32>\hYmiwWtlbaYfaClcXIN в <SYSTEM32>\wbSlzCNN[DqZGyVRyJweA
- <SYSTEM32>\wbSlzCNN[DqZGyVRyJweA в <SYSTEM32>\hTxIucwdrUBlIoDYCsJtNJ
- <SYSTEM32>\VCHGVrlFEYDspRlgzpk в <SYSTEM32>\IhbspFPoFfYaLggXZa
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.X758{
- <SYSTEM32>\Firewall.cpl.X758{ в <SYSTEM32>\WizIaiSXzMRDiSuXGoNkQN
- <SYSTEM32>\WizIaiSXzMRDiSuXGoNkQN в <SYSTEM32>\VCHGVrlFEYDspRlgzpk
- <SYSTEM32>\JwxFqhbzXkEJpadLQH в <SYSTEM32>\UBnkLVXIiMcjdk[OUzYZts
- <SYSTEM32>\UBnkLVXIiMcjdk[OUzYZts в <SYSTEM32>\rsgSQhnVsIdwVfDmCzI
- <SYSTEM32>\rsgSQhnVsIdwVfDmCzI в <SYSTEM32>\czpApRbTNIASGVfcbshrt
- <SYSTEM32>\WDaWXriMfHEgLECOlQKWs в <SYSTEM32>\JwxFqhbzXkEJpadLQH
- <SYSTEM32>\hTxIucwdrUBlIoDYCsJtNJ в <SYSTEM32>\pFXbtWkYMgDmzFGlMRKvgc
- <SYSTEM32>\pFXbtWkYMgDmzFGlMRKvgc в <SYSTEM32>\HsjygPgJnadCEdSQtdoBlo
- <SYSTEM32>\HsjygPgJnadCEdSQtdoBlo в <SYSTEM32>\WDaWXriMfHEgLECOlQKWs
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\MngrMedia\acrotray.exe
Сетевая активность:
Подключается к:
- 'ci####o5txletbd.pw':80
TCP:
Запросы HTTP POST:
- ci####o5txletbd.pw/bbs/ynzxdu/page.php
UDP:
- DNS ASK ci####o5txletbd.pw
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
