Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\wscript.exe' //E:vbs C:\SysWOW64\IDM\Run
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c move %HOMEPATH%\Desktop\explorer.lnk C:\google
- '<SYSTEM32>\cacls.exe' C:\SysWOW64 /E /t /c /g users:w
- '<SYSTEM32>\attrib.exe' +s +h C:\SysWOW64
- '<SYSTEM32>\cmd.exe' /c Echo Y| cacls C:\SysWOW64 /E /t /c /g users:w
- '<SYSTEM32>\cmd.exe' /c move %HOMEPATH%\Desktop\chrome.lnk C:\google
- '<SYSTEM32>\cmd.exe' /c Echo Y| del C:\SysWOW64\IDM\reg.reg
- '<SYSTEM32>\cmd.exe' /S /D /c" del C:\SysWOW64\IDM\reg.reg"
- '<SYSTEM32>\cmd.exe' /c Echo Y| del C:\SysWOW64\IDM\Run
- '<SYSTEM32>\cmd.exe' /S /D /c" del C:\SysWOW64\IDM\Run"
- '<SYSTEM32>\cmd.exe' /c mkdir C:\google
- '<SYSTEM32>\cmd.exe' /c REG IMPORT C:\SysWOW64\IDM\reg.reg
- '<SYSTEM32>\mshta.exe' C:\SysWOW64\IDM\Thumbs.db
- '%ProgramFiles%\Windows NT\Accessories\wordpad.exe' "C:\SysWOW64\IDM\News.doc"
- '<SYSTEM32>\cmd.exe' /c attrib +s +h C:\SysWOW64
- '<SYSTEM32>\cmd.exe' /S /D /c" Echo Y"
- '<SYSTEM32>\cacls.exe' C:\SysWOW64 /E /t /c /d users
- '<SYSTEM32>\reg.exe' IMPORT C:\SysWOW64\IDM\reg.reg
- '<SYSTEM32>\cmd.exe' /c Echo Y| cacls C:\SysWOW64 /E /t /c /d users
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\explorer.lnk
- %HOMEPATH%\Desktop\Chrome.lnk
- %TEMP%\ms4516.tmp
- C:\SysWOW64\IDM\News.doc
- C:\SysWOW64\IDM\Thumbs.db
- C:\SysWOW64\IDM\reg.reg
- C:\SysWOW64\IDM\Run
Удаляет следующие файлы:
- C:\SysWOW64\IDM\reg.reg
- C:\SysWOW64\IDM\Run
Сетевая активность:
Подключается к:
- '18#.#2.220.177':446
- 'fu##.dynu.com':446
- 'localhost':1037
UDP:
- DNS ASK fu##.dynu.com
Другое:
Ищет следующие окна:
- ClassName: 'WordPadClass' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
