Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +s "Intel Turbo Boost V4.1.bat"
- <SYSTEM32>\attrib.exe +r "Intel Turbo Boost V4.1.bat"
- %WINDIR%\explorer.exe http://1.##.#logspot.com/-9Jt2soEXOC0/UAJh58kk9aI/AAAAAAAAAG8/CC-pqH-6Rd4/s1600/tumblr_lkmvmnI3Pf1qec8uno1_500.gif
- <SYSTEM32>\msg.exe * Asla Dosyay─▒ Taramadan Acma......
- <SYSTEM32>\attrib.exe +h "Intel Turbo Boost V4.1.bat"
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\Intel Turbo Boost V4.1.bat""
- <SYSTEM32>\rundll32.exe user32.dll, SwapMouseButton
- <SYSTEM32>\taskkill.exe /f /im "explorer.exe lsm.exe hkcmd.exe dwm.exe lsass.exe winlogon.exe egui.exe system.exe taskmgr.exe taskhost.exe svchost.exe wininit.exe spoolsv.exe services.exe"
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\tumblr_lkmvmnI3Pf1qec8uno1_500[1].gif
- %TEMP%\1.tmp\Intel Turbo Boost V4.1.bat
Сетевая активность:
Подключается к:
- '1.##.#logspot.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- 1.##.#logspot.com/-9Jt2soEXOC0/UAJh58kk9aI/AAAAAAAAAG8/CC-pqH-6Rd4/s1600/tumblr_lkmvmnI3Pf1qec8uno1_500.gif
UDP:
- DNS ASK 1.##.#logspot.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
