Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'kmyshare.exe' = '%APPDATA%\Microsoft\kmyshare.exe'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cacb7094[1].htm
- %APPDATA%\9272821.bat
- %APPDATA%\Microsoft\kmyshare.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cacb7094[1].htm
Самоудаляется.
Сетевая активность:
Подключается к:
- 'us###trock.ru':80
- 'di###bilko.pw':80
- 'la##mito.ru':80
- 'na##jax.ru':80
TCP:
Запросы HTTP POST:
- us###trock.ru/88e6680f/cacb7094/
- di###bilko.pw/88e6680f/cacb7094/
- la##mito.ru/88e6680f/cacb7094/
- na##jax.ru/88e6680f/cacb7094/
UDP:
- DNS ASK us###trock.ru
- DNS ASK di###bilko.pw
- DNS ASK la##mito.ru
- DNS ASK na##jax.ru
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'InNfwyebCo'
- ClassName: '(null)' WindowName: 'K yWpXbq G'
- ClassName: '(null)' WindowName: 'fc'
- ClassName: '(null)' WindowName: ' twjuz jRHXmgyGo'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'rfofXfMom'
- ClassName: '(null)' WindowName: 'fU Zwwika'
- ClassName: '(null)' WindowName: 'dXDo a'
- ClassName: '(null)' WindowName: 'HyxtZpW h'
- ClassName: '(null)' WindowName: 'Bvef'
- ClassName: '(null)' WindowName: 'wph vll aH'
- ClassName: '(null)' WindowName: 'iJ bfltoAkqvjDui'
- ClassName: '(null)' WindowName: 'kU z'
- ClassName: '(null)' WindowName: 'v bBywpeDq'
