Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '*MediaMangr' = '"%ALLUSERSPROFILE%\MediaMangr\unsecapp.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'wuauclt.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Firewall.cpl] 'Debugger' = 'wuauclt.exe'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mmc.exe.XHl
- <SYSTEM32>\Firewall.cpl.66OF
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\MediaMangr\filemon.exe
- <SYSTEM32>\firewall.cpl:Zone.Identifier
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\MediaMangr\filemon.exe
Удаляет следующие файлы:
- <SYSTEM32>\ezgevJZuWzWDxq
- <SYSTEM32>\KHzaZrZffwrrUFJwyf
Перемещает следующие системные файлы:
- <SYSTEM32>\KdHDWLIqFtNXyr в <SYSTEM32>\RLEYGXbHyjA
- <SYSTEM32>\gSEoDbKEqFRJ в <SYSTEM32>\KdHDWLIqFtNXyr
- <SYSTEM32>\fOLSgMQLxBwIFk в <SYSTEM32>\khskdEbdCWBzq
- <SYSTEM32>\RLEYGXbHyjA в <SYSTEM32>\fOLSgMQLxBwIFk
- <SYSTEM32>\UePshzgIYaRtw в <SYSTEM32>\gSEoDbKEqFRJ
- <SYSTEM32>\loFNIDLjBgJEbtLGhH в <SYSTEM32>\KHzaZrZffwrrUFJwyf
- <SYSTEM32>\mctHCluzprxxmVmQMzb в <SYSTEM32>\loFNIDLjBgJEbtLGhH
- <SYSTEM32>\mmc.exe.XHl в <SYSTEM32>\UePshzgIYaRtw
- <SYSTEM32>\mmc.exe в <SYSTEM32>\mmc.exe.XHl
- <SYSTEM32>\VLIylvqWoTwxmO в <SYSTEM32>\EkEyNUSLjALSxji
- <SYSTEM32>\rpPRgxEoYJsHXEd в <SYSTEM32>\VLIylvqWoTwxmO
- <SYSTEM32>\JngHcyoaHEArq в <SYSTEM32>\ezgevJZuWzWDxq
- <SYSTEM32>\EkEyNUSLjALSxji в <SYSTEM32>\JngHcyoaHEArq
- <SYSTEM32>\eiyYtlUApeMvq в <SYSTEM32>\rpPRgxEoYJsHXEd
- <SYSTEM32>\pihkHwfqGEwkoR в <SYSTEM32>\oDcYasnfMpbEd
- <SYSTEM32>\khskdEbdCWBzq в <SYSTEM32>\pihkHwfqGEwkoR
- <SYSTEM32>\XlHSZoceWkuBiq в <SYSTEM32>\eiyYtlUApeMvq
- <SYSTEM32>\oDcYasnfMpbEd в <SYSTEM32>\XlHSZoceWkuBiq
- <SYSTEM32>\nwvNITdmpKGJHwdZXcVdc в <SYSTEM32>\MqzoBBGkyRoQbgRRhLS
- <SYSTEM32>\lvoejSdCyvKHiKumXWefj в <SYSTEM32>\nwvNITdmpKGJHwdZXcVdc
- <SYSTEM32>\PTJtNAxLNlNToDVbBANnO в <SYSTEM32>\TYMTEqlwqOuIycUEBdaGf
- <SYSTEM32>\MqzoBBGkyRoQbgRRhLS в <SYSTEM32>\PTJtNAxLNlNToDVbBANnO
- <SYSTEM32>\wyNawkxBOrIkkVXnZoVJ в <SYSTEM32>\lvoejSdCyvKHiKumXWefj
- <SYSTEM32>\Firewall.cpl.66OF в <SYSTEM32>\eiQfTNecPVJUEwUTpCxte
- <SYSTEM32>\firewall.cpl в <SYSTEM32>\Firewall.cpl.66OF
- <SYSTEM32>\QLyNgursVmyPmHNGfFdcl в <SYSTEM32>\wyNawkxBOrIkkVXnZoVJ
- <SYSTEM32>\eiQfTNecPVJUEwUTpCxte в <SYSTEM32>\QLyNgursVmyPmHNGfFdcl
- <SYSTEM32>\VHWUNEElJZCdBkwQqlKY в <SYSTEM32>\FRCYgGCrqNoUazgCV
- <SYSTEM32>\adiSZdNCALwstwThgxFwb в <SYSTEM32>\VHWUNEElJZCdBkwQqlKY
- <SYSTEM32>\cxCVeRnSpnnXKHZgQU в <SYSTEM32>\mctHCluzprxxmVmQMzb
- <SYSTEM32>\FRCYgGCrqNoUazgCV в <SYSTEM32>\cxCVeRnSpnnXKHZgQU
- <SYSTEM32>\iiurdUqNOvVIkqPBTOn в <SYSTEM32>\adiSZdNCALwstwThgxFwb
- <SYSTEM32>\TsKjQacIeYcUuwCBnwF в <SYSTEM32>\bluosxoPGHBjuDwsMf
- <SYSTEM32>\TYMTEqlwqOuIycUEBdaGf в <SYSTEM32>\TsKjQacIeYcUuwCBnwF
- <SYSTEM32>\cRWqXCUYRmKtnJtmF в <SYSTEM32>\iiurdUqNOvVIkqPBTOn
- <SYSTEM32>\bluosxoPGHBjuDwsMf в <SYSTEM32>\cRWqXCUYRmKtnJtmF
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\MediaMangr\unsecapp.exe
Сетевая активность:
Подключается к:
- '37.#9.68.15':1245
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
