Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\winlogon] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\Microsoft\winlogon.exe'
- '%WINDIR%\Microsoft\winlogon.exe' /run
- '%WINDIR%\Microsoft\winlogon.exe' /install
Запускает на исполнение:
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\sc.exe' delete winlogon
- '<SYSTEM32>\sc.exe' stop winlogon
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Microsoft\Client\settings.dat
- %WINDIR%\Microsoft\Client\taskhost.exe
- <Текущая директория>\LogRTSS.dat
- %WINDIR%\Microsoft\winlogon.exe
- %WINDIR%\Microsoft\winlogon.InstallState
Удаляет следующие файлы:
- %WINDIR%\Microsoft\Client\taskhost.exe
Сетевая активность:
Подключается к:
- 'dl.#####oxusercontent.com':443
- 'do######-new.utorrent.com':80
- 'wp#d':80
- 'sp######t.api-digital.com':80
TCP:
Запросы HTTP GET:
- do######-new.utorrent.com/endpoint/utorrent/os/windows/track/stable/
- wp#d/wpad.dat
Запросы HTTP POST:
- sp######t.api-digital.com/speedtest/upload.php
UDP:
- DNS ASK dl.#####oxusercontent.com
- DNS ASK do######-new.utorrent.com
- DNS ASK wp#d
- DNS ASK sp######t.api-digital.com
