Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*WindowsMnger' = '"%ALLUSERSPROFILE%\WindowsMnger\dwm.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauclt.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.7C0Ge
- <SYSTEM32>\Firewall.cpl.7YBf6
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\WindowsMnger\dwm.exe
- %ALLUSERSPROFILE%\WindowsMnger\btplayerctrl.exe
- <SYSTEM32>\mmc.exe:Zone.Identifier
- %APPDATA%\demographer.j
- <SYSTEM32>\firewall.cpl:Zone.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\WindowsMnger\btplayerctrl.exe
Удаляет следующие файлы:
- <SYSTEM32>\PpNdzPhazrDLUs
- <SYSTEM32>\gIakSBMDNRwofmiEkQlu
Перемещает следующие системные файлы:
- <SYSTEM32>\JAGfhUSdZsgBP в <SYSTEM32>\DZOsmxiBvJXzeK
- <SYSTEM32>\qoSVGoQoISgnp в <SYSTEM32>\JAGfhUSdZsgBP
- <SYSTEM32>\FEoYUdRQnrZLERW в <SYSTEM32>\cqwVRxFDcwMtDrl
- <SYSTEM32>\DZOsmxiBvJXzeK в <SYSTEM32>\FEoYUdRQnrZLERW
- <SYSTEM32>\EKbeidyzkqLOwpvuL в <SYSTEM32>\qoSVGoQoISgnp
- <SYSTEM32>\mmc.exe.7C0Ge в <SYSTEM32>\HlihPafopjBYtG
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.7C0Ge
- <SYSTEM32>\JUbJhqFvYldbbInq в <SYSTEM32>\EKbeidyzkqLOwpvuL
- <SYSTEM32>\HlihPafopjBYtG в <SYSTEM32>\JUbJhqFvYldbbInq
- <SYSTEM32>\cqwVRxFDcwMtDrl в <SYSTEM32>\IGHdHPAFYqlsq
- <SYSTEM32>\atjhOcvEuJHtQWDX в <SYSTEM32>\bRFBUxXxsMPrK
- <SYSTEM32>\XjETzYeTxGGxjBrw в <SYSTEM32>\atjhOcvEuJHtQWDX
- <SYSTEM32>\hREewMORdcnZnl в <SYSTEM32>\PpNdzPhazrDLUs
- <SYSTEM32>\bRFBUxXxsMPrK в <SYSTEM32>\hREewMORdcnZnl
- <SYSTEM32>\TYLNiygNeEFmrgA в <SYSTEM32>\XjETzYeTxGGxjBrw
- <SYSTEM32>\ENDQjYloojabJyn в <SYSTEM32>\yhwurqOAzpVFeDi
- <SYSTEM32>\IGHdHPAFYqlsq в <SYSTEM32>\ENDQjYloojabJyn
- <SYSTEM32>\HqDGhwgGhlDBtk в <SYSTEM32>\TYLNiygNeEFmrgA
- <SYSTEM32>\yhwurqOAzpVFeDi в <SYSTEM32>\HqDGhwgGhlDBtk
- <SYSTEM32>\nEXveknObjoWulVKeJ в <SYSTEM32>\jxDeYuqRRKwjkRWglljRIL
- <SYSTEM32>\VJJPkEaKFYVATzwtUII в <SYSTEM32>\nEXveknObjoWulVKeJ
- <SYSTEM32>\lNmpLrbobmIxZDgJczMVE в <SYSTEM32>\XrzVCPxyonnSISFAWJcmN
- <SYSTEM32>\jxDeYuqRRKwjkRWglljRIL в <SYSTEM32>\lNmpLrbobmIxZDgJczMVE
- <SYSTEM32>\PbScJEivKiqiRIHKqbi в <SYSTEM32>\VJJPkEaKFYVATzwtUII
- <SYSTEM32>\Firewall.cpl.7YBf6 в <SYSTEM32>\qomolCeqUZPzPHCmyWZI
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.7YBf6
- <SYSTEM32>\DykdLyypBHDzIJhFhZ в <SYSTEM32>\PbScJEivKiqiRIHKqbi
- <SYSTEM32>\qomolCeqUZPzPHCmyWZI в <SYSTEM32>\DykdLyypBHDzIJhFhZ
- <SYSTEM32>\XrzVCPxyonnSISFAWJcmN в <SYSTEM32>\qGVwNAScZSvCtHSAYR
- <SYSTEM32>\bZGrCQXkIgrgnRVNZlRDtG в <SYSTEM32>\MKbdljivpYCMjfKUOczF
- <SYSTEM32>\JNWOnySmlDWbitPuBipr в <SYSTEM32>\bZGrCQXkIgrgnRVNZlRDtG
- <SYSTEM32>\aqKaRSiMmkXhdmtxtK в <SYSTEM32>\gIakSBMDNRwofmiEkQlu
- <SYSTEM32>\MKbdljivpYCMjfKUOczF в <SYSTEM32>\aqKaRSiMmkXhdmtxtK
- <SYSTEM32>\OEraXkUQcsORJCKQHIw в <SYSTEM32>\JNWOnySmlDWbitPuBipr
- <SYSTEM32>\CMyjhEHtOCec{AoPqAZuKA в <SYSTEM32>\HtcRyGAHMHWaTkZJYPuvm
- <SYSTEM32>\qGVwNAScZSvCtHSAYR в <SYSTEM32>\CMyjhEHtOCec{AoPqAZuKA
- <SYSTEM32>\GbMLjexAcDOXKiSzDqEV в <SYSTEM32>\OEraXkUQcsORJCKQHIw
- <SYSTEM32>\HtcRyGAHMHWaTkZJYPuvm в <SYSTEM32>\GbMLjexAcDOXKiSzDqEV
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\WindowsMnger\dwm.exe
Сетевая активность:
Подключается к:
- 'so##g.su':6667
UDP:
- DNS ASK so##g.su
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
