Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Network DDE Service] 'ImagePath' = '<SYSTEM32>\spool\drivers\dde.exe /Start'
- [<HKLM>\SYSTEM\ControlSet001\Services\Network DDE Service] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'BW-ProxyClient' = '<SYSTEM32>\spool\drivers\dde.exe:*:enabled:Explorer...
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 'BW-ProxyClient' = '<SYSTEM32>\spool\drivers\dde.exe:*:enabled:Explorer'
Запускает на исполнение:
- '<SYSTEM32>\spool\drivers\dde.exe' /Start
- '<SYSTEM32>\cmd.exe' /c C:\PTMP_AUTO_DELETE.BAT
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\ptmph[1].ini
- <SYSTEM32>\spool\drivers\temp~UpdateVersion.ini
- C:\PTMP_AUTO_DELETE.BAT
- <Текущая директория>PTMP_TEMP_CONFIG.INI
- <SYSTEM32>\spool\drivers\dde.exe
Удаляет следующие файлы:
- <Текущая директория>PTMP_TEMP_CONFIG.INI
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'www.hi######developments.com':80
TCP:
Запросы HTTP GET:
- http://www.hi######developments.com/ptmph.ini
- http://www.hi######developments.com/ptmp2.php
UDP:
- DNS ASK www.hi######developments.com
