Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WindowsSystem32' = '%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Setup.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe' = '%ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe:*:Enabled:WindowsSystem32'
Создает и запускает на исполнение:
- %ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: 'RegMonClass' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\Application Data\TEMP:3A88AF3E
- %ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Setup.exe
- %ALLUSERSPROFILE%\Start Menu\Programs\Administrative Tools\unwise_.exe
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':445
- '<IP-адрес в локальной сети>':135
- 'ze####.weedns.com':65500
UDP:
- DNS ASK ze####.weedns.com
