Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,%HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'DarkComet RAT' = '%HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe'
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '%WINDIR%\svchost.com "%1" %*'
Заражает следующие исполняемые файлы:
- C:\Far2\Far.exe
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\svchost.com' "%HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe"
- '%HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe' Documents\DCSCMIN\IMDCSC.exe
- '%TEMP%\6433\6433.exe'
- '%TEMP%\3582-490\6433.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP12\A0001210.exe
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP12\A0001101.exe
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP12\A0001213.exe
- %TEMP%\tmp5023.tmp
- C:\System Volume Information\_restore{E7F0F64C-F7E5-4319-8757-E9A20C1C4E14}\RP15\A0001854.exe
- %TEMP%\3582-490\6433.exe
- %TEMP%\6433\6433.exe
- %WINDIR%\svchost.com
- %WINDIR%\directx.sys
- %HOMEPATH%\My Documents\DCSCMIN\IMDCSC.exe
Удаляет следующие файлы:
- %WINDIR%\svchost.com
- %TEMP%\6433\6433.exe
Сетевая активность:
Подключается к:
- 'localhost':443
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
