Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\TotalScaner.lnk
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- %WINDIR%\svhost.exe
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall set opmode DISABLE
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\pihudlk
- %WINDIR%\svhost.exe
- %TEMP%\aut1.tmp
- %TEMP%\ntejjop
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\pihudlk
- %TEMP%\aut1.tmp
- %TEMP%\ntejjop
Сетевая активность:
Подключается к:
- 'ir#.###inegamesnet.net':6667
UDP:
- DNS ASK ir#.###inegamesnet.net
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
