Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*WindowsMnger' = '"%ALLUSERSPROFILE%\WindowsMnger\dwm.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.Z80
- <SYSTEM32>\Firewall.cpl.9R1Y
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\WindowsMnger\btplayerctrl.exe
- <SYSTEM32>\mmc.exe:Zone.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\WindowsMnger\btplayerctrl.exe
Удаляет следующие файлы:
- <SYSTEM32>\ApgyuikLrTAcSB
- <SYSTEM32>\RAyLwwexIHhQSFTNPj
Перемещает следующие системные файлы:
- <SYSTEM32>\DYXBwzpSKnTl в <SYSTEM32>\JPiFBJIrcyyfz
- <SYSTEM32>\vcCtQpxMWimMr в <SYSTEM32>\DYXBwzpSKnTl
- <SYSTEM32>\SglhBkYJtqFSEc в <SYSTEM32>\tCt[aHfIaVprArP
- <SYSTEM32>\JPiFBJIrcyyfz в <SYSTEM32>\SglhBkYJtqFSEc
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.Z80
- <SYSTEM32>\phCVElHchjgRehJHDE в <SYSTEM32>\RAyLwwexIHhQSFTNPj
- <SYSTEM32>\tIKmoMYxxRx в <SYSTEM32>\vcCtQpxMWimMr
- <SYSTEM32>\mmc.exe.Z80 в <SYSTEM32>\tIKmoMYxxRx
- <SYSTEM32>\tCt[aHfIaVprArP в <SYSTEM32>\xylmbooBpFTqy
- <SYSTEM32>\jhXwbJvEuksw в <SYSTEM32>\ItPwcqZjYsyB
- <SYSTEM32>\NhWaFTtxXNcOf в <SYSTEM32>\jhXwbJvEuksw
- <SYSTEM32>\VnyVKcJoDswe в <SYSTEM32>\ApgyuikLrTAcSB
- <SYSTEM32>\ItPwcqZjYsyB в <SYSTEM32>\VnyVKcJoDswe
- <SYSTEM32>\zjsCCWTZSWRr в <SYSTEM32>\FKUhZKcwczt
- <SYSTEM32>\xylmbooBpFTqy в <SYSTEM32>\zjsCCWTZSWRr
- <SYSTEM32>\CCMMtJlaQkcagR в <SYSTEM32>\NhWaFTtxXNcOf
- <SYSTEM32>\FKUhZKcwczt в <SYSTEM32>\CCMMtJlaQkcagR
- <SYSTEM32>\LbQvLAooPZmZtYWrjDld в <SYSTEM32>\phCVElHchjgRehJHDE
- <SYSTEM32>\pgPGNnYqnwKORJKHe в <SYSTEM32>\FfoJiJwHwhArWFAJeU
- <SYSTEM32>\BIVSKFBHksVgGHQWAsJM в <SYSTEM32>\pgPGNnYqnwKORJKHe
- <SYSTEM32>\hOoYJblVydZCAyKVL в <SYSTEM32>\oYbDOGvybtPAvwkbsf
- <SYSTEM32>\FfoJiJwHwhArWFAJeU в <SYSTEM32>\hOoYJblVydZCAyKVL
- <SYSTEM32>\Firewall.cpl.9R1Y в <SYSTEM32>\MPYZxCTpGYFBTnBuIT
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.9R1Y
- <SYSTEM32>\GjBAAgoYvEwjEhfAYatY в <SYSTEM32>\BIVSKFBHksVgGHQWAsJM
- <SYSTEM32>\MPYZxCTpGYFBTnBuIT в <SYSTEM32>\GjBAAgoYvEwjEhfAYatY
- <SYSTEM32>\oYbDOGvybtPAvwkbsf в <SYSTEM32>\DuAmmvNYPwGCfGSZmGPxI
- <SYSTEM32>\UAUMhCVyDqdRlBGdlt в <SYSTEM32>\lzswAgkiPOAwyEoBqyx
- <SYSTEM32>\EsHxcCuPwbpDMUJdkU в <SYSTEM32>\UAUMhCVyDqdRlBGdlt
- <SYSTEM32>\OEqnTsTvAvSaTZmIZuPV в <SYSTEM32>\LbQvLAooPZmZtYWrjDld
- <SYSTEM32>\lzswAgkiPOAwyEoBqyx в <SYSTEM32>\OEqnTsTvAvSaTZmIZuPV
- <SYSTEM32>\NWzORDZPJHezQaORVyOxX в <SYSTEM32>\xojCabLKIbZaBCEJc
- <SYSTEM32>\DuAmmvNYPwGCfGSZmGPxI в <SYSTEM32>\NWzORDZPJHezQaORVyOxX
- <SYSTEM32>\zBUtgAXsjHvpfPHpJy в <SYSTEM32>\EsHxcCuPwbpDMUJdkU
- <SYSTEM32>\xojCabLKIbZaBCEJc в <SYSTEM32>\zBUtgAXsjHvpfPHpJy
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\WindowsMnger\dwm.exe
Сетевая активность:
Подключается к:
- 'so##g.su':6667
UDP:
- DNS ASK so##g.su
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
