Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\aeotii] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\winntap.exe'
- '%APPDATA%\sconwin.exe'
- '<SYSTEM32>\winntap.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' create aeotii binPath= "<SYSTEM32>\winntap.exe" start= auto Displayname= "Software aeoti" type= own
- '<SYSTEM32>\sc.exe' start aeotii
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\reg.exe' add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v scowin /t REG_SZ /d %APPDATA%\sconwin.exe /f
- '<SYSTEM32>\net1.exe' user /domain
- '<SYSTEM32>\ipconfig.exe' /all
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\get.txt
- <SYSTEM32>\winntap.exe
- %APPDATA%\sconwin.exe
- %APPDATA%\user.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\sconwin.exe
Сетевая активность:
Подключается к:
- 'www.ci####-support.com':80
- 'ci#######.citrix-support.com':80
TCP:
Запросы HTTP GET:
- www.ci####-support.com/citrix-setup/winsisx.exe
UDP:
- DNS ASK www.ci####-support.com
- DNS ASK ci#######.citrix-support.com
