Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'tsiVideo' = 'rundll32.exe %TEMP%\\tsiVi032.dll,startme'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\iswizard05\indexer.exe' -poolip=54.200.248.75 -poolport=1337 -pooluser=AZgxPmzdQU1EtuPJMcXWb9CzdstMfZ5f7B -poolpassword=x -genproclimit=8
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' %TEMP%\\tsiVi032.dll,startme
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\iswizard05\libidn-11.dll
- %TEMP%\iswizard05\librtmp.dll
- %TEMP%\iswizard05\libcurl-4.dll
- %TEMP%\iswizard05\libeay32.dll
- %TEMP%\iswizard05\libssh2.dll
- %TEMP%\iswizard05\zlib1.dll
- %TEMP%\iswizard05\proxy.conf
- %TEMP%\iswizard05\libusb-1.0.dll
- %TEMP%\iswizard05\ssleay32.dll
- %TEMP%\iswizard05\indexer.exe
- %TEMP%\iswizard05\diablo130302.cl
- %TEMP%\iswizard05\diakgcn121016.cl
- %TEMP%\tsiVi032.dll
- %TEMP%\iswizard05\iswizard.7z
- %TEMP%\iswizard05\phatk121016.cl
- %TEMP%\iswizard05\cidaemon.exe
- %TEMP%\iswizard05\dwm.exe
- %TEMP%\iswizard05\poclbm130302.cl
- %TEMP%\iswizard05\scrypt130511.cl
Сетевая активность:
Подключается к:
- '54.##0.248.75':1337
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
