Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\iykmtarq] 'Start' = '00000000'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\iykmtarq.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\dsetup.bat
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryDirectoryFile, драйвер-обработчик: ylngahlo.sys
- NtQuerySystemInformation, драйвер-обработчик: ylngahlo.sys
- NtEnumerateKey, драйвер-обработчик: ylngahlo.sys
- NtEnumerateValueKey, драйвер-обработчик: ylngahlo.sys
Скрывает следующие процессы:
- %WINDIR%\iykmtarq.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\dsetup.bat
- %WINDIR%\iykmtarq.exe
- <DRIVERS>\ylngahlo.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'xy#.#ps20093.cn':80
TCP:
Запросы HTTP GET:
- xy#.#ps20093.cn/count.php?fi#################################################
UDP:
- DNS ASK xy#.#ps20093.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
