Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Dishonored' = '%TEMP%\Windows Update.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
Запускает на исполнение:
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "Dishonored" /t REG_SZ /d "%TEMP%\Windows Update.exe
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\Windows Update.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- '83.##3.119.197':80
- 'bl####.no-ip.biz':1600
- 'il#.#renz.pl':80
UDP:
- DNS ASK oc##xd.com
- DNS ASK hc##gi.com
- DNS ASK ww##xr.com
- DNS ASK au##nu.com
- DNS ASK ek##yf.com
- DNS ASK oj##ac.com
- DNS ASK bl####.no-ip.biz
- DNS ASK il#.#renz.pl
- DNS ASK oq##bw.com
- DNS ASK eo##wr.com
- DNS ASK an#.#renz.pl
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
