Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*MediaMangr' = '"%ALLUSERSPROFILE%\MediaMangr\unsecapp.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.C6wj50p
- <SYSTEM32>\Firewall.cpl.xD91
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\MediaMangr\filemon.exe
- <SYSTEM32>\firewall.cpl:Zone.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\MediaMangr\filemon.exe
Удаляет следующие файлы:
- <SYSTEM32>\YlZtdaHZkvNongM
- <SYSTEM32>\XFnxWnqHcKqjvOOlD
Перемещает следующие системные файлы:
- <SYSTEM32>\ukNqPhIHLSQzvrAOVw в <SYSTEM32>\bYkKfXPrMXtHRwZOLw
- <SYSTEM32>\bYkKfXPrMXtHRwZOLw в <SYSTEM32>\UhwpiGbVBKxZUals
- <SYSTEM32>\UhwpiGbVBKxZUals в <SYSTEM32>\WZMwdPzfbdHjHSKa
- <SYSTEM32>\LJKzdPJffZNOwVkhP в <SYSTEM32>\ukNqPhIHLSQzvrAOVw
- <SYSTEM32>\mmc.exe.C6wj50p в <SYSTEM32>\OkKcQwvqvXTEsgGdJqg
- <SYSTEM32>\OkKcQwvqvXTEsgGdJqg в <SYSTEM32>\MPbelASSYxeHVrTr
- <SYSTEM32>\MPbelASSYxeHVrTr в <SYSTEM32>\LJKzdPJffZNOwVkhP
- <SYSTEM32>\WZMwdPzfbdHjHSKa в <SYSTEM32>\GreCKIYSIDRvwFLUsf
- <SYSTEM32>\RUopOCYrQVtRxndT в <SYSTEM32>\RPuOZxjGOqcJvdtpZ
- <SYSTEM32>\RPuOZxjGOqcJvdtpZ в <SYSTEM32>\NMhbwNkkmKcshEMT
- <SYSTEM32>\NMhbwNkkmKcshEMT в <SYSTEM32>\YlZtdaHZkvNongM
- <SYSTEM32>\BeZaWLMoFdNfVwBi в <SYSTEM32>\RUopOCYrQVtRxndT
- <SYSTEM32>\GreCKIYSIDRvwFLUsf в <SYSTEM32>\XphEhKinsMGHbCwTkxm
- <SYSTEM32>\XphEhKinsMGHbCwTkxm в <SYSTEM32>\CcwsuyqeVbAwxHO
- <SYSTEM32>\CcwsuyqeVbAwxHO в <SYSTEM32>\BeZaWLMoFdNfVwBi
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.C6wj50p
- <SYSTEM32>\qLQrnCAushZErErgjWWh в <SYSTEM32>\eknyMuKtbNQLmleCzD
- <SYSTEM32>\eknyMuKtbNQLmleCzD в <SYSTEM32>\pYwCReYGFidCibXLnGS
- <SYSTEM32>\pYwCReYGFidCibXLnGS в <SYSTEM32>\ivJGAHdNgwwKqsNQaToVJ
- <SYSTEM32>\XsvOnAhsILwQKtAot в <SYSTEM32>\qLQrnCAushZErErgjWWh
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.xD91
- <SYSTEM32>\Firewall.cpl.xD91 в <SYSTEM32>\IqedoMdyMfLVFTYqJzk
- <SYSTEM32>\IqedoMdyMfLVFTYqJzk в <SYSTEM32>\XsvOnAhsILwQKtAot
- <SYSTEM32>\ivJGAHdNgwwKqsNQaToVJ в <SYSTEM32>\TiGAwsuqwxLTpDmxMiM
- <SYSTEM32>\YeEMFnEnpKvejGJJhuLE в <SYSTEM32>\nlgeGtZqIwqlAzKHcByV
- <SYSTEM32>\nlgeGtZqIwqlAzKHcByV в <SYSTEM32>\kINyDQspdkzxRcWhl
- <SYSTEM32>\kINyDQspdkzxRcWhl в <SYSTEM32>\XFnxWnqHcKqjvOOlD
- <SYSTEM32>\YAykfiRdmtaCbjnNPyQiQ в <SYSTEM32>\YeEMFnEnpKvejGJJhuLE
- <SYSTEM32>\TiGAwsuqwxLTpDmxMiM в <SYSTEM32>\nLuSzTBGKoVdaKnXBb
- <SYSTEM32>\nLuSzTBGKoVdaKnXBb в <SYSTEM32>\gcqPaTxYqeAJQoTVm
- <SYSTEM32>\gcqPaTxYqeAJQoTVm в <SYSTEM32>\YAykfiRdmtaCbjnNPyQiQ
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\MediaMangr\unsecapp.exe
Сетевая активность:
Подключается к:
- '37.#9.68.15':1245
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
