Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows Wizeni Diagnostics Service] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Wizeni Service] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\svcwin.exe
- <SYSTEM32>\wdrwzsvc.exe /i
- <SYSTEM32>\svcwin.exe /start
- <SYSTEM32>\svcwin.da.exe /stop
- <SYSTEM32>\svcwin.exe /i
Запускает на исполнение:
- %WINDIR%\explorer.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\explorer.exe
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Wizeni\wizenib.da
- %PROGRAM_FILES%\Wizeni\wizenis.da_
- <SYSTEM32>\wdrwzsvc.da
- %PROGRAM_FILES%\Wizeni\wizenib.da_
- %PROGRAM_FILES%\Wizeni\wizenir.exe.da
- %PROGRAM_FILES%\Wizeni\uninst.exe
- %PROGRAM_FILES%\Wizeni\wizenis.da
- %PROGRAM_FILES%\Wizeni\wizenir.exe.da_
- <SYSTEM32>\wdrwzsvc.da_
- %TEMP%\nsb2.tmp\nsProcEx.dll
- %TEMP%\nsb2.tmp\wizenis.da_
- %TEMP%\nsb2.tmp\SelfDel.dll
- %TEMP%\nsb2.tmp\System.dll
- <SYSTEM32>\svcwin.da_
- <SYSTEM32>\svcwin.da
- %TEMP%\nsb2.tmp\wizenis.dll
- %TEMP%\nsb2.tmp\nsProcess.dll
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\nsProcEx.dll
- %TEMP%\nsb2.tmp\nsProcess.dll
- %TEMP%\nsb2.tmp\SelfDel.dll
- %TEMP%\nsb2.tmp\wizenis.dll
- %TEMP%\nsb2.tmp\System.dll
- %PROGRAM_FILES%\Wizeni\wizenir.exe.da_
- <SYSTEM32>\svcwin.da_
- %TEMP%\nsb2.tmp\wizenis.da_
- <SYSTEM32>\wdrwzsvc.da_
- %PROGRAM_FILES%\Wizeni\wizenis.da_
- %PROGRAM_FILES%\Wizeni\wizenib.da_
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.dd###zplus.com':80
UDP:
- DNS ASK www.dd###zplus.com
