Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\My Documents\MSDCSC\msdcsc.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicroUpdate' = '%HOMEPATH%\My Documents\MSDCSC\msdcsc.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\DRCTROY.exe' = '%TEMP%\DRCTROY.exe:*:Enabled:DRCTROY.exe'
Создает и запускает на исполнение:
- '%TEMP%\DRCTROY.exe'
- '%HOMEPATH%\My Documents\MSDCSC\msdcsc.exe'
- '%TEMP%\Exe To Base 64 By hackers DZ.exe'
- '%TEMP%\dark.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\DRCTROY.exe" "DRCTROY.exe" ENABLE
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Local Settings\Temp" +s +h
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\attrib.exe' "%TEMP%\dark.exe" +s +h
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\DRCTROY.exe
- %HOMEPATH%\My Documents\MSDCSC\msdcsc.exe
- %TEMP%\Exe To Base 64 By hackers DZ.exe
- %TEMP%\dark.exe
Удаляет следующие файлы:
- %TEMP%\dark.exe
Сетевая активность:
Подключается к:
- 'uk##.zapto.org':666
- 'uk##.zapto.org':1604
- 'uk####k.linkpc.net':666
- 'uk####k.linkpc.net':1604
UDP:
- DNS ASK uk##.zapto.org
- DNS ASK uk####k.linkpc.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
