Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WinDll32Run' = '"<Полный путь к вирусу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\wscript.exe' "C:\.Microsoft\rundll32.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- C:\.Microsoft\kernels\poclbm\BFIPatcher.py
- C:\.Microsoft\kernels\poclbm\6c4b7a39b761ee2ce9faa4607ede65a8.elf
- C:\.Microsoft\kernels\poclbm\kernel.cl
- C:\.Microsoft\kernels\poclbm\BFIPatcher.pyc
- C:\.Microsoft\kernels\poclbm\__init__.pyc
- C:\.Microsoft\phoenix.exe
- C:\.Microsoft\as2.bat
- C:\.Microsoft\kernels\poclbm\__init__.py
- C:\.Microsoft\rundll32.vbs
Сетевая активность:
Подключается к:
- 'ca##3ine.nl':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- ca##3ine.nl/bn/kernels/poclbm/6c4b7a39b761ee2ce9faa4607ede65a8.elf
- ca##3ine.nl/bn/kernels/poclbm/__init__.pyc
- ca##3ine.nl/bn/kernels/poclbm/BFIPatcher.py
- ca##3ine.nl/bn/kernels/poclbm/kernel.cl
- ca##3ine.nl/bn/kernels/poclbm/BFIPatcher.pyc
- ca##3ine.nl/bn/as2.bat
- wp#d/wpad.dat
- ca##3ine.nl/bn/phoenix.exe
- ca##3ine.nl/bn/kernels/poclbm/__init__.py
- ca##3ine.nl/bn/rundll32.vbs
UDP:
- DNS ASK ca##3ine.nl
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
