Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\sppsvc] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\slui.exe' -Embedding
- '<SYSTEM32>\sppsvc.exe'
- '<SYSTEM32>\slui.exe' 0xa74 <Имя вируса>.exe
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\Wat\WatAdminSvc.exe' /run
- '<SYSTEM32>\wermgr.exe' "-queuereporting_svc" "C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f"
- '<SYSTEM32>\svchost.exe' -k NetworkService
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab692F.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab690E.tmp
- <SYSTEM32>\Microsoft\Protect\S-1-5-19\64db679c-5390-4a44-9006-15ff82514a90
- <Служебный элемент>
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B46.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B25.tmp
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\A89DFCC31C360BA5CBD616749B1B1C5D
- %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\C24EC5BDAF13613245B4CECC3DE91DC6
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\Content\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\8DFDF057024880D7A081AFBF6D26B92F
- <LS_APPDATA>Low\Microsoft\CryptnetUrlCache\MetaData\A89DFCC31C360BA5CBD616749B1B1C5D
- %WINDIR%\Temp\tmp477B.tmp
- %WINDIR%\ServiceProfiles\LocalService\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\C24EC5BDAF13613245B4CECC3DE91DC6
Удаляет следующие файлы:
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B25.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab6B46.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab692F.tmp
- %WINDIR%\Temp\tmp477B.tmp
- %WINDIR%\ServiceProfiles\NetworkService\AppData\Local\Temp\Cab690E.tmp
Перемещает следующие файлы:
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f\Report.wer.tmp в C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_svchost.exe_52af572445f4c307ead62f0a298ede633d3ed9_cab_03d3161f\Report.wer
Сетевая активность:
Подключается к:
- 'sf.##mcd.com':80
- 'crl.verisign.com':80
- 'ap#.###dingmypage.com':80
- 'sf.##mcb.com':80
- 'oc##.#erisign.com':80
- 'ct###.#indowsupdate.com':80
- 'localhost':5357
- '20#.#6.232.182':80
TCP:
Запросы HTTP GET:
- sf.##mcb.com/sf.crl
- 20#.#6.232.182/fwlink/?Li###########
- sf.##mcd.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBTSqZMG5M8TA9rdzkbCnNwuMAd5VgQUz5mp6nsm9EvJjo%2FX8AUm7%2BPSp50CEFCXRhqUcf3SsCBJG0ZM3Nk%3D
- 20#.#6.232.182/pki/crl/products/CodeSignPCA.crl
- ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?d4##############
- ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?07##############
- oc##.#erisign.com/MFEwTzBNMEswSTAJBgUrDgMCGgUABBS56bKHAoUD%2BOyl%2B0LhPg9JxyQm4gQUf9Nlp8Ld7LvwMAnzQzn6Aq8zMTMCEFIA5aolVvwahu2WydRLM8c%3D
- ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?22##############
- ct###.#indowsupdate.com/msdownload/update/v3/static/trustedr/en/disallowedcertstl.cab?f8##############
- 20#.#6.232.182/pki/crl/products/WinPCA.crl
- crl.verisign.com/pca3-g5.crl
- 20#.#6.232.182/pki/crl/products/microsoftrootcert.crl
Запросы HTTP POST:
- ap#.###dingmypage.com/rs
UDP:
- DNS ASK sf.##mcd.com
- DNS ASK ap#.###dingmypage.com
- DNS ASK www.microsoft.com
- DNS ASK sf.##mcb.com
- DNS ASK go.###rosoft.com
- DNS ASK oc##.#erisign.com
- DNS ASK ct###.#indowsupdate.com
- DNS ASK crl.microsoft.com
- DNS ASK crl.verisign.com
- 'localhost':61742
- 'localhost':56694
- '20#.#6.232.182':3544
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
