Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\EFS] 'Start' = '00000002'
Заражает следующие исполняемые файлы:
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EPUHelp.exe
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\efsui.exe' /efs /keybackup
- '<SYSTEM32>\taskhost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\System Volume Information\EFS0.LOG
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EFS0.TMP
- %APPDATA%\Roaming\Microsoft\SystemCertificates\My\Certificates\DECEBD63AE2F2876C0349CDA2B79287EB26A5F68
- %TEMP%\a17119.tmp
- %APPDATA%\Roaming\Microsoft\Crypto\RSA\S-1-5-21-3525224950-2885160813-905547259-1000\eecd6d3328943c05e8b7b10c7477e491_fdaad129-04df-4089-bb80-174ce725f721
Удаляет следующие файлы:
- C:\System Volume Information\EFS0.LOG
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EFS0.TMP
Перемещает следующие файлы:
- %TEMP%\a17119.tmp в %APPDATA%\Roaming\Adobe\acupx217.dll
Самоперемещается:
- из <Полный путь к вирусу> в %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EPUHelp.exe
Сетевая активность:
Подключается к:
- 'aa#####oaseseuke.org':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- 74.##5.232.51/
Запросы HTTP POST:
- aa#####oaseseuke.org/
UDP:
- DNS ASK 1.###.##1.111.in-addr.arpa
- DNS ASK aa#####oaseseuke.org
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
