Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Stormser] 'ImagePath' = '<Полный путь к вирусу>'
- [<HKLM>\SYSTEM\ControlSet001\Services\Stormser] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:@xpsp2res....
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\20160627113708.log
- <Текущая директория>\stormup.ini
Сетевая активность:
Подключается к:
- 'p2#.##.baofeng.com':80
- 'd1.##ofeng.com':80
TCP:
Запросы HTTP GET:
- http://d1.##ofeng.com/stormup/findbaofeng3packet_428.html?re######
- http://p2#.##.baofeng.com/p2p/level2/p2pdownload.task
- http://d1.##ofeng.com/stormup/stormserver_428.html?t=########
- http://d1.##ofeng.com/stormup/fip2p_428.html
UDP:
- DNS ASK p2#.##.baofeng.com
- DNS ASK d1.##ofeng.com
