Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemupdate' = '%TEMP%\kwcs.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- '%TEMP%\kwcs.exe'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "EnableFirewall" /t REG_DWORD /d "0" /f
- '<SYSTEM32>\cmd.exe' /c %HOMEPATH%\Local Settings\Temprunner.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\img1.bmp
- %TEMP%\img2.bmp
- %TEMP%\img0.bmp
- %HOMEPATH%\Local Settings\Temprunner.bat
- %TEMP%\kwcs.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ft#.#rivehq.com':21
- 'localhost':1035
UDP:
- DNS ASK ft#.#rivehq.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
