Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'UserFaultCheck' = '<SYSTEM32>\dumprep 0 -u'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 'MTUchk' = '{2BF0AE8B-E3BB-4F4F-81C8-722B3C7F4D0A}'
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\vl] 'Name' = '%APPDATA%\Catalyst\CatalystCfg.dll'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\pchealth\ERRORREP\UserDumps\spoolsv.exe.20160518-205412-00.mdmp
- %WINDIR%\pchealth\ERRORREP\UserDumps\spoolsv.exe.20160518-205412-00.hdmp
- C:\spoolerlogs\spooler.xml
- %APPDATA%\Catalyst\CatalystCfg.dll
- %TEMP%\th.t
Удаляет следующие файлы:
- %TEMP%\th.t
Самоперемещается:
- из <Полный путь к вирусу> в <Текущая директория>\err.log
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Spooler SubSystem App'
