Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Adobe Licensing Console] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\mrt1.tmp\stdrt.exe /SF "<Полный путь к вирусу>" /SO364544
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\apply.bat" "
- <SYSTEM32>\reg.exe IMPORT apply.reg
- <SYSTEM32>\find.exe /i "x86"
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\x86detect.bat" "
- <SYSTEM32>\reg.exe Query HKLM\Hardware\Description\System\CentralProcessor\0
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\mrt1.tmp\bmpflt.ift
- %TEMP%\mrt1.tmp\aviflt.ift
- %TEMP%\mrt1.tmp\pcxflt.ift
- %TEMP%\mrt1.tmp\jpgflt.ift
- %TEMP%\mrt1.tmp\gifflt.ift
- %TEMP%\mrt1.tmp\fliflt.ift
- <Текущая директория>\x86detect.bat
- <Текущая директория>\apply.bat
- <SYSTEM32>\lnsecsl.exe
- <Текущая директория>\get.dat
- <Текущая директория>\checkOS.txt
- <Текущая директория>\StringCheck.txt
- <Текущая директория>\apply.reg
- %TEMP%\mrt1.tmp\pngflt.ift
- %TEMP%\mrt1.tmp\kcfile.mfx
- %TEMP%\mrt1.tmp\Registry2.mfx
- %TEMP%\mrt1.tmp\KcWebX.mfx
- %TEMP%\mrt1.tmp\stdrt.exe
- %TEMP%\mrt1.tmp\mmfs2.dll
- %TEMP%\mrt1.tmp\kclist.mfx
- %TEMP%\mrt1.tmp\Download.mfx
- %TEMP%\mrt1.tmp\KcBoxA.mfx
- %TEMP%\mrt1.tmp\Yaso.mfx
- %TEMP%\mrt1.tmp\tgaflt.ift
- %TEMP%\mrt1.tmp\Get.mfx
- %TEMP%\mrt1.tmp\kcedit.mfx
- %TEMP%\mrt1.tmp\volume.mfx
Удаляет следующие файлы:
- <Текущая директория>\apply.bat
- <Текущая директория>\apply.reg
- <Текущая директория>\x86detect.bat
- <Текущая директория>\StringCheck.txt
- <Текущая директория>\checkOS.txt
Сетевая активность:
Подключается к:
- 'www.tu###kid.com':80
TCP:
Запросы HTTP GET:
- www.tu###kid.com/get.dat
UDP:
- DNS ASK www.tu###kid.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
