Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\IKEEXT] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\services\syshost32] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Installer\{BCCE7367-A99C-F87D-7585-067E428FACB2}\syshost.exe' /service
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Core Networking - System IP Core" dir=out action=allow enable=yes profile=any
- '<SYSTEM32>\svchost.exe' -k NetworkServiceNetworkRestricted
- '<SYSTEM32>\netsh.exe' advfirewall firewall set rule name="Core Networking - System IP Core" dir=out new action=allow enable=yes profile=any
- '<SYSTEM32>\netsh.exe' advfirewall firewall set rule name="Core Networking - System IP Core" dir=in new action=allow enable=yes profile=any
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule name="Core Networking - System IP Core" dir=in action=allow enable=yes profile=any
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\95caeab8-8b62-6126-1b32-38c3f7f8105e.tmp
- %WINDIR%\Installer\{BCCE7367-A99C-F87D-7585-067E428FACB2}\syshost.exe
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\949e1449.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '24.##8.235.143':24348
- '12#.#85.98.144':16694
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK 1.###l.ntp.org
- DNS ASK 2.###l.ntp.org
- DNS ASK 0.###l.ntp.org
- DNS ASK microsoft.com
- '18#.#01.168.114':28130
- '19#.#8.103.34':9793
- '11#.#95.88.195':30015
- '11#.#29.242.65':22889
- '11#.#93.241.79':19262
- '11#.#97.229.10':22086
- '21#.#68.75.131':19862
- '41.##4.176.239':30736
- '18#.#8.208.55':18099
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
