Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'landriver' = '<LS_APPDATA>\WindowsTN\landriver.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'system32.dll' = '<LS_APPDATA>\WindowsTN\system32.dll.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'cprecover' = '<LS_APPDATA>\WindowsTN\cprecover\cprecover.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'svchoast' = '<LS_APPDATA>\WindowsTN\svchoast.exe'
Вредоносные функции:
Запускает на исполнение:
- '<LS_APPDATA>\WindowsTN\svchoast.exe'
- '<LS_APPDATA>\WindowsTN\cprecover\cprecover.exe'
- '<LS_APPDATA>\WindowsTN\system32.dll.exe'
- '<LS_APPDATA>\WindowsTN\landriver.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <LS_APPDATA>\WindowsTN\system32.dll.exe
- <LS_APPDATA>\WindowsTN\Ionic.Zip.dll
- <SYSTEM32>\key3.db
- %APPDATA%\IDM\DotNetZip-vqloprqi.tmp
- <SYSTEM32>\signons.sqlite
- <LS_APPDATA>\WindowsTN\landriver.exe
- <LS_APPDATA>\WindowsTN\cprecover\cprecover.exe.config
- <LS_APPDATA>\WindowsTN\cprecover\cprecover.exe
- <LS_APPDATA>\WindowsTN\cprecover\sqlite3.dll
- <LS_APPDATA>\WindowsTN\svchoast.exe
- <LS_APPDATA>\WindowsTN\cprecover\System.Data.SQLite.dll
Удаляет следующие файлы:
- %APPDATA%\IDM\1115201662711AM
Перемещает следующие файлы:
- %APPDATA%\IDM\DotNetZip-vqloprqi.tmp в %APPDATA%\IDM\1115201662711AM
Сетевая активность:
Подключается к:
- '18#.#7.134.11':21
- '74.##5.232.51':80
- '15#.#2.10.118':21
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://www.google.com/ via 74.##5.232.51
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK www.google.com
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
