Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s "%APPDATA%\trino.reg"
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\cmd.exe' /c ""C:\bisrus.bat""
- '<SYSTEM32>\cmd.exe' /c ""C:\jubolo.bat""
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonBadCertRecving' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- C:\jubolo.txt
- C:\trino.pac
- %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk
- <DRIVERS>\etc\lmhosts
- <DRIVERS>\etc\hostss1
- %APPDATA%\trino.reg
- %APPDATA%\neddpos.txt
- C:\bisrus.txt
- C:\seguin.gif
- %HOMEPATH%\Internet Explorer.lnk
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
Удаляет следующие файлы:
- C:\jubolo.bat
- <DRIVERS>\etc\hosts
- <DRIVERS>\etc\lmhosts.sam
- %APPDATA%\trino.reg
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- C:\bisrus.bat
- C:\seguin.gif
Перемещает следующие файлы:
- C:\trino.pac в %APPDATA%\trino.pac
- C:\jubolo.txt в C:\jubolo.bat
- C:\bisrus.txt в C:\bisrus.bat
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '21#.#8.216.235':80
- 'localhost':1040
- '21#.#17.180.13':80
TCP:
Запросы HTTP GET:
- 21#.#8.216.235/hus.txt
- 21#.#8.216.235/meriz.txt
- 21#.#8.216.235/horus.gif
Запросы HTTP POST:
- 21#.#17.180.13/ezinin.php
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
Изменяет значение AutoConfigURL
