Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{1D476073-5E7F-AD41-B897-60D4A63F43C6}' = '"%APPDATA%\Ipuzu\paak.exe"'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c "%TEMP%\tmp696d0c38.bat"
- '%APPDATA%\Ipuzu\paak.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp696d0c38.bat
- <LS_APPDATA>\mewoqa.cai
- %APPDATA%\Ipuzu\paak.exe
Самоудаляется.
Сетевая активность:
UDP:
- '17#.#5.2.100':29604
- '81.#1.97.2':22540
- '99.##3.223.24':13874
- '10#.#2.169.160':20007
- '19#.#69.125.228':29902
- '18#.#34.140.134':10106
- '72.#4.69.88':17132
- '99.##6.22.157':18029
- '79.##.162.159':11110
- '67.##6.41.46':17260
- '65.#4.21.38':15742
- '64.##9.147.110':15363
- '66.##7.139.151':20904
- '19#.#4.127.98':25549
- '19#.#20.96.207':22034
- '18#.#84.247.60':23089
