Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Command Processor] 'AutoRun' = '"%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe"'
- [<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '"%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ftp' = '"%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'ftp' = '"%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe"'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe' -elevate_and_bypass
- '%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe'
- '%APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe' -first_run
- '%TEMP%\tmpF5A4.exe' "<Полный путь к вирусу>"
Запускает на исполнение:
- '<SYSTEM32>\DllHost.exe' /Processid:{304CE942-6E39-40D8-943A-B913C40C9CD4}
- '<SYSTEM32>\rundll32.exe' dfdts.dll,DfdGetDefaultPolicyAndSMART
- '<SYSTEM32>\PING.EXE' 127.0.0.1
- '<SYSTEM32>\DllHost.exe' /Processid:{E10F6C3A-F1AE-4ADC-AA9D-2FE65525666E}
Изменения в файловой системе:
Создает следующие файлы:
- C:\$Recycle.Bin\S-1-5-21-3525224950-2885160813-905547259-1000\$ast-S-1-5-21-3525224950-2885160813-905547259-1000\JQ2se_vwrHTdV66GBLz6.dat
- %APPDATA%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ftp.lnk
- %TEMP%\tmpF5A4.exe
- C:\$Recycle.Bin\S-1-5-21-3525224950-2885160813-905547259-1000\$ast-S-1-5-21-3525224950-2885160813-905547259-1000\860LRxZRN8KTSZt8yGEf.dat
- %APPDATA%\Roaming\Microsoft\Windows\IEUpdate\ftp.exe
- C:\$Recycle.Bin\S-1-5-21-3525224950-2885160813-905547259-1000\$ast-S-1-5-21-3525224950-2885160813-905547259-1000\t9sPBGQTCW8Gl1ID1b.dat
Самоудаляется.
Сетевая активность:
Подключается к:
- '12#.#13.40.131':48754
UDP:
- '21#.7.22.3':48754
- '50.#.3.235':48754
- '77.##0.17.31':48754
- '89.##1.107.19':48754
- '83.##.173.209':48754
- '27.#.135.53':48754
- '11#.#36.98.111':48754
- '14.##2.169.38':48754
- '75.##.102.82':48754
- '17#.#23.84.238':48754
- '89.##.66.213':48754
- '5.###.112.177':48754
- '50.##8.182.8':48754
- '66.##5.181.1':48754
- '11#.#54.112.148':48754
- '89.##.169.84':48754
- '89.##9.23.152':48754
- '31.##.224.152':48754
- '17#.#35.178.218':48754
- '31.#92.2.6':48754
- '2.###.74.106':48754
- '18#.#47.212.143':48754
- '46.##8.24.211':48754
- '95.##2.173.120':48754
- '19#.#55.211.36':48754
- '11#.#23.126.44':48754
- '85.##.186.18':48754
- '11#.#42.101.141':48754
- '5.###.210.88':48754
- '59.##1.195.68':48754
- '14#.#85.220.23':19077
- '13#.#04.114.10':48754
- '17#.#3.128.6':48754
- '21#.#3.139.49':48754
- '19#.#3.88.144':48754
- '78.##0.224.131':48754
- '10#.#9.98.54':48754
- '89.##5.89.247':48754
- '22#.#17.130.48':48754
- '19#.#47.180.181':48754
- '1.###.13.245':48754
- '19#.#.158.34':48754
- '21#.#23.58.121':48754
- '11#.#.39.104':48754
- '89.##6.237.150':48754
- '21#.#5.177.131':48754
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
