Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,"<SYSTEM32>\clientmon.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "System32 Drivers" /rl highest /tr "'\468747\win32dll.exe' /startup" /f
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\alg.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- C:\468747\win32dll.exe
- <SYSTEM32>\clientmon.exe
- %TEMP%\svhost.exe
- C:\b3082efba575813569d442624a86022f81bbece0
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\b3082efba575813569d442624a86022f81bbece0
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\4587
Сетевая активность:
Подключается к:
- '18#.#7.1.250':4200
- 'mi#####.tinydns.tech':4200
UDP:
- DNS ASK mi#####.tinydns.tech
