Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*WinMediaMng00' = '"%ALLUSERSPROFILE%\WinMediaMng00\svchost.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.34gX3y
- <SYSTEM32>\Firewall.cpl.5ToN9M3
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\WinMediaMng00\procmon.exe
- <SYSTEM32>\firewall.cpl:Zone.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\WinMediaMng00\procmon.exe
Удаляет следующие файлы:
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\PTqYUhyHSmJnBfaDKzlV
- <SYSTEM32>\gvZdGHFCgKCuduU
Перемещает следующие системные файлы:
- <SYSTEM32>\DsdYwMthVkNEMqTj в <SYSTEM32>\baveJssdRoe{HIF
- <SYSTEM32>\baveJssdRoe{HIF в <SYSTEM32>\NezfbCkNiFLZIgb
- <SYSTEM32>\NezfbCkNiFLZIgb в <SYSTEM32>\wsDbpoAyMvZkHJ
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.34gX3y
- <SYSTEM32>\mmc.exe.34gX3y в <SYSTEM32>\vKVkOPvbsEMYNJgt
- <SYSTEM32>\vKVkOPvbsEMYNJgt в <SYSTEM32>\DsdYwMthVkNEMqTj
- <SYSTEM32>\wsDbpoAyMvZkHJ в <SYSTEM32>\UtngSTZLMRbScIox
- <SYSTEM32>\OeTVYyRtkNKlEK в <SYSTEM32>\VPdSBVxAOZPZAyO
- <SYSTEM32>\VPdSBVxAOZPZAyO в <SYSTEM32>\NFuiTKIyHaRmdFcwXL
- <SYSTEM32>\NFuiTKIyHaRmdFcwXL в <SYSTEM32>\gvZdGHFCgKCuduU
- <SYSTEM32>\UtngSTZLMRbScIox в <SYSTEM32>\aLvBgBwQGqttVDAap
- <SYSTEM32>\aLvBgBwQGqttVDAap в <SYSTEM32>\vMiqfVKtULlcOVTg
- <SYSTEM32>\vMiqfVKtULlcOVTg в <SYSTEM32>\OeTVYyRtkNKlEK
- <SYSTEM32>\HMeJJXuFAcgvVfXiAsTbyZt в <SYSTEM32>\ZCBxPecGThvWPhKmDarCyM
- <SYSTEM32>\ZCBxPecGThvWPhKmDarCyM в <SYSTEM32>\aBQEDueLwORpwLdTVsaU
- <SYSTEM32>\aBQEDueLwORpwLdTVsaU в <SYSTEM32>\npCAVypFrYMfKAUZaWAQ
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.5ToN9M3
- <SYSTEM32>\Firewall.cpl.5ToN9M3 в <SYSTEM32>\tiOJDfICAgNtlUuMKwuNY
- <SYSTEM32>\tiOJDfICAgNtlUuMKwuNY в <SYSTEM32>\HMeJJXuFAcgvVfXiAsTbyZt
- <SYSTEM32>\npCAVypFrYMfKAUZaWAQ в <SYSTEM32>\hcKZhKdeDBmkKGibzNRny
- <SYSTEM32>\LfatW{UOZIPpGwWfBhfwDLa в <SYSTEM32>\rFiePcWWASOLxEBgGmcmAw
- <SYSTEM32>\rFiePcWWASOLxEBgGmcmAw в <SYSTEM32>\nxMByNWUwZXLzIzhmpJtj
- <SYSTEM32>\nxMByNWUwZXLzIzhmpJtj в <SYSTEM32>\PTqYUhyHSmJnBfaDKzlV
- <SYSTEM32>\hcKZhKdeDBmkKGibzNRny в <SYSTEM32>\jQeKQubfpplvapKmwjOAX
- <SYSTEM32>\jQeKQubfpplvapKmwjOAX в <SYSTEM32>\JirychhnQwLFyihsUxubfgm
- <SYSTEM32>\JirychhnQwLFyihsUxubfgm в <SYSTEM32>\LfatW{UOZIPpGwWfBhfwDLa
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\WinMediaMng00\svchost.exe
Сетевая активность:
Подключается к:
- '93.##0.137.165':80
TCP:
Запросы HTTP POST:
- 93.##0.137.165/swa/page.php
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
