Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Service Process' = '<SYSTEM32>\config\service.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\config\service.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\SOFTWARE\Miranda]
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Trillian]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\connect[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\getftp[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\getemails[1].php
- <SYSTEM32>\config\service.exe
- <SYSTEM32>\options.dll
- <SYSTEM32>\ielog.dll
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\connect[1].php
Сетевая активность:
Подключается к:
- 'www.st###-panel.com':80
TCP:
Запросы HTTP GET:
- www.st###-panel.com/getemails.php?em#####
- www.st###-panel.com/getftp.php?pa###
- www.st###-panel.com/connect.php?ut#################################################################################
UDP:
- DNS ASK www.st###-panel.com
- '<IP-адрес в локальной сети>':1036
