Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %TEMP%\aaaaaaaaaaaaaaaaaaaaaaaa.exe
- %HOMEPATH%\Templates\nKJlS.exe.exe
- %TEMP%\xxxxxxxxxxxxxxxxxx.exe
Запускает на исполнение:
- <SYSTEM32>\notepad.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aaaaaaaaaaaaaaaaaaaaaaaa.exe
- %HOMEPATH%\Templates\nKJlS.exe.exe
- %TEMP%\xxxxxxxxxxxxxxxxxx.exe
Сетевая активность:
Подключается к:
- '41.##4.244.57':1604
