Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Helper] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\hls\winlogon.exe -start
- <SYSTEM32>\Helper.exe
- <SYSTEM32>\srvhls.exe
Запускает на исполнение:
- <SYSTEM32>\net1.exe start helper
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\Temp\2.tmp\Helper.cmd""
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\srvhls.cmd" "
- <SYSTEM32>\sc.exe create Helper binPath= "helper.exe" DisplayName= "Helper" start= "auto"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\hls\config.txt
- <SYSTEM32>\Helper.exe
- <SYSTEM32>\hls\Config\rules.txt
- <SYSTEM32>\hls\Config\slist.txt
- %TEMP%\1.tmp\srvhls.cmd
- %WINDIR%\Temp\2.tmp\Helper.cmd
- <SYSTEM32>\hls\winlogon.exe
- <SYSTEM32>\srvhls.exe
- <SYSTEM32>\hls\Config\redirect.txt
- <SYSTEM32>\hls\Config\Advanced\masters.txt
- <SYSTEM32>\hls\Config\clcmds.txt
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- <SYSTEM32>\hls\Config\maps.txt
- <SYSTEM32>\hls\Config\players.txt
- <SYSTEM32>\hls\Config\hostnames.txt
- <SYSTEM32>\hls\Config\mappings.txt
Удаляет следующие файлы:
- %WINDIR%\Temp\2.tmp\Helper.cmd
- %TEMP%\1.tmp\srvhls.cmd
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\2.tmp
Сетевая активность:
UDP:
- '72.##5.61.153':27015
- '72.##5.61.189':27010
- '69.##.158.131':27010
- '72.##5.61.136':27010
- '87.##4.171.208':27010
- '92.##3.95.195':27010
- '72.##5.61.190':27010
- '77.##2.219.54':27016
- '63.##4.149.83':27011
- '63.##4.149.90':27011
- '20#.#97.20.34':27010
- '20#.#97.4.186':27010
- '69.##.140.247':27010
- '69.##.151.162':27010
- '68.##2.72.250':27010
- '69.##.140.245':27010
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
