Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Microsoft Windows Update.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\.temp01\rutserv.exe' -second
- '%TEMP%\.temp01\KNWPIsystem.exe'
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /Create /RL Highest /TN "Microsoft Windows Update" /SC ONSTART /TR "%TEMP%\.temp01\KNWPIsystem.exe"
- '<SYSTEM32>\cmd.exe' /c schtasks.exe /Create /RL Highest /TN "Microsoft Windows Update" /SC ONSTART /TR "%TEMP%\.temp01\KNWPIsystem.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\.temp01\vp8encoder.dll
- %APPDATA%\RMS_settings\Logs\rms_log_2015-11.html
- %TEMP%\.temp01\KNWPIsystem.exe
- %TEMP%\.temp01\rutserv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\.temp01\vp8encoder.dll
- %TEMP%\.temp01\rutserv.exe
- %TEMP%\.temp01\KNWPIsystem.exe
Сетевая активность:
Подключается к:
- 'vk.###.##derators.id5353456.ru':80
- 'rm#####ver.tektonit.ru':563
- 'rm#####ver.tektonit.ru':5655
TCP:
Запросы HTTP GET:
- http://vk.###.##derators.id5353456.ru/gate/id.php?id###################################################################
UDP:
- DNS ASK vk.###.##derators.id5353456.ru
- DNS ASK rm#####ver.tektonit.ru
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
