Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\DrvInst.exe' "1" "200" "UMB\UMB\1&841921d&0&TSBUS" "" "" "69f6e7ccb" "00000000" "000005BC" "000005B4"
- '<SYSTEM32>\conhost.exe'
- '<SYSTEM32>\net1.exe' localgroup %USERNAME%s IDC_USER /add
- '<SYSTEM32>\reg.exe' ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
- '<SYSTEM32>\net1.exe' user IDC_USER admin98 /add
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Microsoft\Protect\S-1-5-20\Preferred
- C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\f686aace6942fb7f7ceb231212eef4a4_97c09787-6498-4b10-8f65-9471d842c55e
- %WINDIR%\sys.bat
- <SYSTEM32>\Microsoft\Protect\S-1-5-20\51a954c2-8ecc-4280-afe0-37e587cfc8c9
Удаляет следующие файлы:
- %WINDIR%\sys.bat
Сетевая активность:
UDP:
- DNS ASK do####ad.58611.net
- DNS ASK dn#.##ftncsi.com
- DNS ASK ad####8.linkpc.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
