Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*MicrosWindowMnger' = '"%ALLUSERSPROFILE%\MicrosWindowMnger\wireshark.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauclt.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.zC2r4jj
- <SYSTEM32>\Firewall.cpl.36S5W7
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%TEMP%\Svchost.exe'
- '%TEMP%\RarSFX0\gKQHXe.exe' "hZarux"
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Svchost.exe
- %TEMP%\hZarux
- %TEMP%\KEuOpL.exe
- %ALLUSERSPROFILE%\MicrosWindowMnger\rundll32.exe
- <SYSTEM32>\mmc.exe:Zone.Identifier
- <SYSTEM32>\firewall.cpl:Zone.Identifier
- %TEMP%\RarSFX0\gKQHXe.exe
- %TEMP%\RarSFX0\iokDSR.txt
- %TEMP%\RarSFX0\hZarux
- %TEMP%\gKQHXe.exe
- %TEMP%\iokDSR.txt
- %TEMP%\RarSFX0\KEuOpL.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\MicrosWindowMnger\rundll32.exe
- %ALLUSERSPROFILE%\MicrosWindowMnger\wireshark.exe
Удаляет следующие файлы:
- %TEMP%\RarSFX0\hZarux
- %TEMP%\RarSFX0\iokDSR.txt
- %TEMP%\RarSFX0\KEuOpL.exe
- <SYSTEM32>\eMJwXFmyIJqpyKSlrZoxA
- <SYSTEM32>\EGdglwRJTegJZyW
- %TEMP%\RarSFX0\gKQHXe.exe
Перемещает следующие системные файлы:
- <SYSTEM32>\uXVebaZaMYoBxZJ в <SYSTEM32>\PUQegzzu{hTaiTvQS
- <SYSTEM32>\PUQegzzu{hTaiTvQS в <SYSTEM32>\FYJYbODTwaMiPdSJBKU
- <SYSTEM32>\FYJYbODTwaMiPdSJBKU в <SYSTEM32>\KmuRTnGDwKINfory
- <SYSTEM32>\mmc.exe.zC2r4jj в <SYSTEM32>\etmgURfWCPacsSurx
- <SYSTEM32>\etmgURfWCPacsSurx в <SYSTEM32>\wlUwYgYswvVIjJc
- <SYSTEM32>\wlUwYgYswvVIjJc в <SYSTEM32>\uXVebaZaMYoBxZJ
- <SYSTEM32>\EwtPlLNwdFEQGCXwNW в <SYSTEM32>\qoZWsngTelkOCmAsT
- <SYSTEM32>\qoZWsngTelkOCmAsT в <SYSTEM32>\KrrUHDSoEoIbdDWrTLU
- <SYSTEM32>\KrrUHDSoEoIbdDWrTLU в <SYSTEM32>\EGdglwRJTegJZyW
- <SYSTEM32>\KmuRTnGDwKINfory в <SYSTEM32>\aTViBeMvYuEonjNySvg
- <SYSTEM32>\aTViBeMvYuEonjNySvg в <SYSTEM32>\KjpSpBsMCHHWsqT
- <SYSTEM32>\KjpSpBsMCHHWsqT в <SYSTEM32>\EwtPlLNwdFEQGCXwNW
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.zC2r4jj
- <SYSTEM32>\VMqvRWQAoNpoBqqiiSvyq в <SYSTEM32>\DnnyDAqeRuIqLvtGrjRnV
- <SYSTEM32>\DnnyDAqeRuIqLvtGrjRnV в <SYSTEM32>\HiKrqJXDoGfAfKGdfYNvih
- <SYSTEM32>\HiKrqJXDoGfAfKGdfYNvih в <SYSTEM32>\eXGmjsUdGZBjwsjcDVp
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.36S5W7
- <SYSTEM32>\Firewall.cpl.36S5W7 в <SYSTEM32>\TpRhKhqlNTPrKCiTbgdQqD
- <SYSTEM32>\TpRhKhqlNTPrKCiTbgdQqD в <SYSTEM32>\VMqvRWQAoNpoBqqiiSvyq
- <SYSTEM32>\aDTKJRasEzxsmSAmIQw в <SYSTEM32>\rWSJmizQUkvKblhynde
- <SYSTEM32>\rWSJmizQUkvKblhynde в <SYSTEM32>\HpxZeEimKvwoGwTyhiCwasz
- <SYSTEM32>\HpxZeEimKvwoGwTyhiCwasz в <SYSTEM32>\eMJwXFmyIJqpyKSlrZoxA
- <SYSTEM32>\eXGmjsUdGZBjwsjcDVp в <SYSTEM32>\kxPYDxYMxeTodziCWdRKP
- <SYSTEM32>\kxPYDxYMxeTodziCWdRKP в <SYSTEM32>\bcfFKsMLmAawPNjU{tGsJCs
- <SYSTEM32>\bcfFKsMLmAawPNjU{tGsJCs в <SYSTEM32>\aDTKJRasEzxsmSAmIQw
Перемещает следующие файлы:
- %TEMP%\Svchost.exe в %ALLUSERSPROFILE%\MicrosWindowMnger\wireshark.exe
Сетевая активность:
Подключается к:
- 'me####ator.ddns.net':42925
UDP:
- DNS ASK me####ator.ddns.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
