Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'GoogleUpdateSetup' = '%WINDIR%\GoogleSetup.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\GoogleSetup\setup.exe' --algo scrypt --url stratum+tcp://stratum.give-me-ltc.com:3334 --userpass voltage.70:123456 --threads 4 -s 3
- '%WINDIR%\GoogleSetup.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\GoogleSetup\zlib1.dll.comp
- %TEMP%\GoogleSetup\zlib1.dll
- %TEMP%\GoogleSetup\pthreadGC2.dll
- %TEMP%\aut4.tmp
- %TEMP%\GoogleSetup\setup.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
- %TEMP%\aut5.tmp
- %TEMP%\GoogleSetup\setup.bin
- %TEMP%\GoogleSetup\pthreadGC2.dll.comp
- %WINDIR%\1.crypt
- %WINDIR%\GoogleSetup.exe
- %TEMP%\temped.bin
- %TEMP%\aut1.tmp
- %TEMP%\GoogleSetup\libcurl.dll
- %TEMP%\aut3.tmp
- %TEMP%\aut2.tmp
- %TEMP%\GoogleSetup\libcurl.dll.comp
Удаляет следующие файлы:
- %TEMP%\aut4.tmp
- %TEMP%\aut3.tmp
- %TEMP%\GoogleSetup\setup.bin
- %TEMP%\aut5.tmp
- %TEMP%\aut1.tmp
- %TEMP%\temped.bin
- %TEMP%\aut2.tmp
- %WINDIR%\1.crypt
Сетевая активность:
Подключается к:
- 'ch####p.dyndns.org':80
- 'st#####.give-me-ltc.com':3334
- 'pa###bin.com':80
TCP:
Запросы HTTP GET:
- ch####p.dyndns.org/
Запросы HTTP POST:
- pa###bin.com/api/api_login.php
UDP:
- DNS ASK ch####p.dyndns.org
- DNS ASK au######on.whatismyip.com
- DNS ASK pa###bin.com
- DNS ASK st#####.give-me-ltc.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
