Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon' = '<SYSTEM32>\dlg\ctfmon.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\dlg\ctfmon.exe' = '<SYSTEM32>\dlg\ctfmon.exe:*:Enabled:Firewall'
- [<HKLM>\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\Installer.exe' = '<SYSTEM32>\Installer.exe:*:Enabled:Firewall'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut21F7.tmp
- <SYSTEM32>\dlg\config\nodes.dat
- %TEMP%\aut21E6.tmp
- <SYSTEM32>\dlg\config\preferences.ini
- %TEMP%\aut2207.tmp
- <SYSTEM32>\dlg\config\server.met
- %TEMP%\aut21C5.tmp
- <SYSTEM32>\dlg\temp\001.part.met
- %TEMP%\aut21A4.tmp
- <SYSTEM32>\dlg\downloads.txt
- %TEMP%\aut21D6.tmp
- <SYSTEM32>\dlg\temp\002.part.met
Удаляет следующие файлы:
- %TEMP%\aut21E6.tmp
- %TEMP%\aut21F7.tmp
- %TEMP%\aut2207.tmp
- %TEMP%\aut21A4.tmp
- %TEMP%\aut21C5.tmp
- %TEMP%\aut21D6.tmp
Сетевая активность:
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK w1#.##sy-share.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
