Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\services.exe файлом <SYSTEM32>\dllcache\services.exe.new
- <SYSTEM32>\dllcache\lsass.exe файлом <SYSTEM32>\dllcache\lsass.exe.new
- <SYSTEM32>\dllcache\smss.exe файлом <SYSTEM32>\dllcache\smss.exe.new
- <SYSTEM32>\dllcache\winlogon.exe файлом <SYSTEM32>\dllcache\winlogon.exe.new
- <SYSTEM32>\dllcache\spoolsv.exe файлом <SYSTEM32>\dllcache\spoolsv.exe.new
- <SYSTEM32>\dllcache\ctfmon.exe файлом <SYSTEM32>\dllcache\ctfmon.exe.new
- <SYSTEM32>\dllcache\svchost.exe файлом <SYSTEM32>\dllcache\svchost.exe.new
- <SYSTEM32>\dllcache\explorer.exe файлом <SYSTEM32>\dllcache\explorer.exe.new
- <Служебный элемент> файлом <Служебный элемент>
- <SYSTEM32>\services.exe файлом <SYSTEM32>\services.exe.1
- <SYSTEM32>\lsass.exe файлом <SYSTEM32>\lsass.exe.1
- <SYSTEM32>\smss.exe файлом <SYSTEM32>\smss.exe.1
- <SYSTEM32>\winlogon.exe файлом <SYSTEM32>\winlogon.exe.1
- <SYSTEM32>\spoolsv.exe файлом <SYSTEM32>\spoolsv.exe.1
- <SYSTEM32>\ctfmon.exe файлом <SYSTEM32>\ctfmon.exe.1
- <SYSTEM32>\svchost.exe файлом <SYSTEM32>\svchost.exe.1
- %WINDIR%\explorer.exe файлом %WINDIR%\explorer.exe.1
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\0225A8B8.dll
Удаляет следующие файлы:
- <SYSTEM32>\cscript.exe.1
Перемещает следующие системные файлы:
- <SYSTEM32>\spoolsv.exe в <SYSTEM32>\spoolsv.exe.0
- %WINDIR%\explorer.exe в %WINDIR%\explorer.exe.0
- <Служебный элемент> в <Служебный элемент>
- <SYSTEM32>\ctfmon.exe в <SYSTEM32>\ctfmon.exe.0
- <SYSTEM32>\svchost.exe в <SYSTEM32>\svchost.exe.0
- <SYSTEM32>\winlogon.exe в <SYSTEM32>\winlogon.exe.0
- <SYSTEM32>\smss.exe в <SYSTEM32>\smss.exe.0
- <SYSTEM32>\lsass.exe в <SYSTEM32>\lsass.exe.0
- <SYSTEM32>\services.exe в <SYSTEM32>\services.exe.0
Перемещает следующие файлы:
- <SYSTEM32>\dllcache\winlogon.exe.new в <SYSTEM32>\dllcache\winlogon.exe
- <SYSTEM32>\dllcache\services.exe.new в <SYSTEM32>\dllcache\services.exe
- <SYSTEM32>\ctfmon.exe.new в <SYSTEM32>\ctfmon.exe
- <SYSTEM32>\dllcache\smss.exe.new в <SYSTEM32>\dllcache\smss.exe
- <SYSTEM32>\dllcache\lsass.exe.new в <SYSTEM32>\dllcache\lsass.exe
- <SYSTEM32>\dllcache\spoolsv.exe.new в <SYSTEM32>\dllcache\spoolsv.exe
- <SYSTEM32>\dllcache\ctfmon.exe.new в <SYSTEM32>\dllcache\ctfmon.exe
- <SYSTEM32>\dllcache\svchost.exe.new в <SYSTEM32>\dllcache\svchost.exe
- <SYSTEM32>\dllcache\explorer.exe.new в <SYSTEM32>\dllcache\explorer.exe
- <SYSTEM32>\smss.exe.new в <SYSTEM32>\smss.exe
- <SYSTEM32>\winlogon.exe.new в <SYSTEM32>\winlogon.exe
- <Служебный элемент> в <Служебный элемент>
- <Служебное имя>.1 в <Служебное имя>
- <SYSTEM32>\services.exe.new в <SYSTEM32>\services.exe
- %WINDIR%\explorer.exe.new в %WINDIR%\explorer.exe
- <SYSTEM32>\spoolsv.exe.new в <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\lsass.exe.new в <SYSTEM32>\lsass.exe
- <SYSTEM32>\svchost.exe.new в <SYSTEM32>\svchost.exe
Сетевая активность:
Подключается к:
- 'ir#.##linkcorp.net':6667
- 'ir#.##laxynet.org':6667
- 'ir#.##serv.us.to':6667
- 'ir#.#izon.net':6667
- 'ef###.port80.se':6667
- 'ir#.#nynet.org':6667
- 'ir#.##iverse.com':6667
- 'ir#.#reeirc.de':6667
- 'dr####.flexnet.pro':6667
UDP:
- DNS ASK ir#.##linkcorp.net
- DNS ASK ir#.##laxynet.org
- DNS ASK ir#.##serv.us.to
- DNS ASK ir#.#izon.net
- DNS ASK ef###.port80.se
- DNS ASK ir#.#nynet.org
- DNS ASK ir#.##iverse.com
- DNS ASK ir#.#reeirc.de
- DNS ASK dr####.flexnet.pro
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
