Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- <Текущая директория>\vbc.exe SYS.VBS
Запускает на исполнение:
- <SYSTEM32>\tasklist.exe /svc
- <SYSTEM32>\wbem\wmic.exe BIOS get ReleaseDate
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\wbem\wmic.exe LOGICALDISK get caption,Description,FreeSpace,Size
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\VBS.bat""
- <SYSTEM32>\systeminfo.exe
- <SYSTEM32>\netstat.exe -a
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\AutoRecover\C8463ECBE33BC240263A0B094E46D510.mof
- %TEMP%\tmp3.tmp
- <SYSTEM32>\wbem\AutoRecover\23BDE61F1F4FACE17E9B0C01F2A1FD9B.mof
- %TEMP%\tmp4.tmp
- %TEMP%\tmp2.tmp
- <Текущая директория>\vbc.exe
- %TEMP%\1.tmp\VBS.bat
- C:\SYS.txt
- <Текущая директория>\sys.vbs
Удаляет следующие файлы:
- %TEMP%\tmp4.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\tmp2.tmp
Сетевая активность:
Подключается к:
- 'sm##.gmail.com':25
- 'ic###azip.com':80
TCP:
Запросы HTTP GET:
- ic###azip.com/
UDP:
- DNS ASK sm##.gmail.com
- DNS ASK ic###azip.com
