Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\Userinit.exe,%APPDATA%\lsass.exe'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Windows Media Player update.exe
- %HOMEPATH%\Start Menu\Programs\Startup\Windows Media Player update.exe
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows Media Player update] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\lsass.exe' = '%TEMP%\lsass.exe:*:Enabled:Windows Media Player update'
Создает и запускает на исполнение:
- '%TEMP%\lsass.exe' /Autoit3ExecuteScript %TEMP%\procwatch.tmp
- '%TEMP%\lsass.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "%TEMP%\lsass.exe" "Windows Media Player update" ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\lsass.exe
- %TEMP%\procwatch.tmp
- %TEMP%\lsass.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\lsass.exe
Сетевая активность:
Подключается к:
- 'ai###erry.com':80
TCP:
Запросы HTTP GET:
- ai###erry.com/mboard-R/msg/msg/reg.php?Vm###########################################################################################################################################################################
UDP:
- DNS ASK ai###erry.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
