Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'doozeo' = '%HOMEPATH%\doozeo.exe /N'
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\901701440] 'Name' = '"%TEMP%\3.tmp"'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\doozeo.exe
- <Имя диска съемного носителя>:\AQdE.ico
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- <Текущая директория>\USERPROFILE\wexhost.exe
- %HOMEPATH%\doozeo.exe
- <Текущая директория>\USERPROFILE\vdpod.exe
- <Текущая директория>\USERPROFILE\vbLfQjM9924xn5.exe
- <Текущая директория>\USERPROFILE\vcpod.exe
Запускает на исполнение:
- <SYSTEM32>\tasklist.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\USERPROFILE\wexhost.dll
- %HOMEPATH%\doozeo.exe
- %TEMP%\2.tmp
- <Текущая директория>\USERPROFILE\wexhost.exe
- <Текущая директория>\USERPROFILE\vbLfQjM9924xn5.exe
- <Текущая директория>\USERPROFILE\vcpod.exe
- <Текущая директория>\USERPROFILE\vdpod.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\AQdE.ico
- <Имя диска съемного носителя>:\autorun.inf
- %HOMEPATH%\doozeo.exe
Сетевая активность:
Подключается к:
- 'bu###ogin.net':80
TCP:
Запросы HTTP POST:
- bu###ogin.net/?in##############################################################################################################
UDP:
- DNS ASK go##le.ae
- DNS ASK bu###ogin.net
- DNS ASK ik##.com
- DNS ASK si###ell.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
