Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinServices' = '%APPDATA%\Roaming\WinServices\WinServices.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\WinServices\WinServices.exe'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=in name=Win2y2 program="%PROGRAM_FILES%\FireFox\firefox.exe"
- '<SYSTEM32>\netsh.exe' advfirewall firewall add rule action=allow profile=any protocol=any enable=yes direction=out name=Win2y2 program="%PROGRAM_FILES%\FireFox\firefox.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Roaming\WinServices\WinServices.exe
Сетевая активность:
Подключается к:
- '74.##5.232.51':80
- 'ap#.#bcapi.me':80
- 'any':8080
- 'te###mail.org':80
- 'www.be####thename.com':80
- 'sn###.no-ip.biz':8080
- 'www.id#####ygenerator.com':80
TCP:
Запросы HTTP GET:
- 74.##5.232.51/recaptcha/api/image?c=
- ap#.#bcapi.me/api/captcha/
- 74.##5.232.51/recaptcha/api/challenge?k=########################################
- www.be####thename.com/random/random.php?nu#############################################################
- te###mail.org/option/delete
Запросы HTTP POST:
- ap#.#bcapi.me/api/captcha
- www.id#####ygenerator.com/process.php
UDP:
- DNS ASK te###mail.org
- DNS ASK www.google.com
- DNS ASK ap#.#bcapi.me
- DNS ASK www.be####thename.com
- DNS ASK sn###.no-ip.biz
- DNS ASK www.id#####ygenerator.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
