Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\systime.com.url
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\.Identifier
- %ALLUSERSPROFILE%\Application Data\systime.exe
- <Текущая директория>\Example.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\.Identifier
Удаляет следующие файлы:
- <Текущая директория>\Example.txt
Сетевая активность:
Подключается к:
- 'ab#.asu.su':2525
UDP:
- DNS ASK ab#.asu.su
Другое:
Ищет следующие окна:
- ClassName: '_M_TDT__t_qRr_kX' WindowName: '_x____aFe'
- ClassName: 'Hf____' WindowName: 's_e__d'
- ClassName: 'hm_d_N_nu_ayf_irg' WindowName: 'lA___q___NzW___o'
- ClassName: 'w__ao_I__SdM_j_U' WindowName: '___dN_f_WB'
- ClassName: '__U' WindowName: 'hh__Ix_x_d'
- ClassName: 'pB_Y___HUYOJs_WK_cZ__' WindowName: '___zv___F_Ne__R__dT___XW'
- ClassName: '___VaW_pCr' WindowName: 'j_N_W__'
- ClassName: '_isq_R__dh_BRwo_' WindowName: 'r__x_rM'
- ClassName: 'E_mCDD_C___p_unpQ_ziSaV_m' WindowName: 'Ji_____T_Or_I_gBU_QMFNxvG'
- ClassName: 'U_bYh_N_S__s_wV_G_r' WindowName: '_QU__dT'
- ClassName: 'O_C____CO_AC_______i' WindowName: '__U_y____d_Wd_s'
- ClassName: '_e_cM_IW__' WindowName: '_FM_Q____I____b_'
- ClassName: '_W_Ed' WindowName: '_R______Xn_Wo_L_t__'
- ClassName: 'M_U_a___j_' WindowName: 'I___a_Y__i_bJZv'
- ClassName: 'MnDjY_' WindowName: 'nWv____sh_'
- ClassName: 'FM__Z_l__T_s_xA__' WindowName: '_S_FH____oV__S____Lh'
- ClassName: 'iUAYo__EA_Bt_B_____k___' WindowName: '__lO_fjI__RX__'
- ClassName: 'U____A_______P' WindowName: '___b_OG_P_T_g_'
- ClassName: 'E_h_e____Tm__Yv_WsJ' WindowName: 'x_______mh__'
- ClassName: 'B_dtM_L___pu__V_e____' WindowName: 'wk___r___Y___P___P'
- ClassName: 'b_Tn_____z__IvOX_P' WindowName: '_G'
- ClassName: 'zL_________Qb_NaTq_Ub__R' WindowName: '__F__'
- ClassName: 'i_f__km_a_w' WindowName: '_U____'
- ClassName: 'c_' WindowName: '_TS'
- ClassName: '_OwdH___Wy' WindowName: '_ro_'
- ClassName: '_uya_r______ws_graz' WindowName: '____R____f_e_____'
- ClassName: '_m__U_J_S_Z' WindowName: 'iwW_W_______C_Kc___'
- ClassName: '__B__dxa_H__ltOqLl' WindowName: 'V__vD__b_FfDHF__i__b_FT_x'
- ClassName: 'sGiC_I' WindowName: '___u____I_N_Ap_SKlR'
- ClassName: '_CpO_DUv_____gwZ__q' WindowName: '_C_l__d'
- ClassName: '_' WindowName: 'k__'
- ClassName: '_r__AyxL__P_GVO' WindowName: 'MYUM_jl'
- ClassName: 'PFA_' WindowName: '_p'
- ClassName: 'la__MY___SW_gk__Zk_F_s' WindowName: '_t__I__p____hJ__OXW'
- ClassName: '' WindowName: ''
- ClassName: 'BIrzb_f_Y___qR_h__' WindowName: 'cXTTfj_Fhi'
- ClassName: '_____pKf_d' WindowName: 'T__AA_T_P_IM'
- ClassName: 'C________cL__' WindowName: '___k_fE_Tw_HJ'
- ClassName: '_IpRJpuFa__YSR___imW_' WindowName: '__x___VOf__n___'
- ClassName: '__' WindowName: '_e___H_'
- ClassName: '_T' WindowName: '___SR'
- ClassName: '_evx_x_x__m_JuGWI_____PU' WindowName: 'QxVG__r_l_S_QUg___M__f__'
- ClassName: '_H__DcU_S__e_m' WindowName: '__b__k___eON_'
- ClassName: 'D__K__q_S_Hx___a__c' WindowName: '__R_woDiZ_nD__J_QN_'
- ClassName: '_KyT_k_V___R_d__HYjf_N_' WindowName: 'I_A__s_R'
- ClassName: 'P____La_QB_wE__o' WindowName: 'yOhq'
- ClassName: 'zIxf_' WindowName: 'J_xZv'
- ClassName: 'g__wdij______Pp' WindowName: 'Cbt___V____O_zz_ql'
