Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Taskhosts.exe' = '"<SYSTEM32>\Taskhosts.exe" /regrun'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Taskhosts.exe' = '"<SYSTEM32>\Taskhosts.exe" /regrun'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'mstss.exe' = '"<SYSTEM32>\mstss.exe" /regrun'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'mstss.exe' = '"<SYSTEM32>\mstss.exe" /regrun'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\mstss.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Taskhosts.exe
- <DRIVERS>\mstsc.ldb
- <SYSTEM32>\mstss.exe
- <DRIVERS>\mstsc.mdb
- <Текущая директория>\mstsc.rdp
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\mstss.exe
- <SYSTEM32>\Taskhosts.exe
- <DRIVERS>\mstsc.mdb
- <Текущая директория>\mstsc.rdp
Сетевая активность:
Подключается к:
- 's5.###ongfeng.org':5050
- 's4.###ongfeng.org':5050
- 's7.###ongfeng.org':5050
- 's6.###ongfeng.org':5050
- 's1.###ongfeng.org':5050
- 's0.###ongfeng.org':5050
- '27.##.137.58':5050
- 's2.###ongfeng.org':5050
UDP:
- DNS ASK s5.###ongfeng.org
- DNS ASK s6.###ongfeng.org
- DNS ASK s7.###ongfeng.org
- DNS ASK s4.###ongfeng.org
- DNS ASK s0.###ongfeng.org
- DNS ASK s1.###ongfeng.org
- DNS ASK s2.###ongfeng.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
