Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'UserFaultCheck' = '<SYSTEM32>\dumprep 0 -u'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ttool' = '%WINDIR%\9129837.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
- '<SYSTEM32>\dumprep.exe' 1152 -dm 7 7 %WINDIR%\PCHealth\ErrorRep\UserDumps\svchost.exe.20161110-122927-00.mdmp 16325836412030612
- '<SYSTEM32>\dumprep.exe' 1152 -dm 7 7 %WINDIR%\PCHealth\ErrorRep\UserDumps\svchost.exe.20161110-122927-00.hdmp 16325836412030612
- '%WINDIR%\9129837.exe'
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\abcdefg.bat" "<Полный путь к файлу>""
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\drwtsn32.exe
- <SYSTEM32>\dumprep.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\options[1]
- %WINDIR%\pchealth\ERRORREP\UserDumps\svchost.exe.20161110-122927-00.hdmp
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\cmd[1]
- %WINDIR%\9129837.exe
- <Текущая директория>\abcdefg.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- '19#.#3.208.10':80
- 'localhost':1039
TCP:
Запросы HTTP GET:
- http://19#.#3.208.10/cgi-bin/options.cgi?us###############################################################################################
- http://19#.#3.208.10/cgi-bin/cmd.cgi?us###############################################################################################
