Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Vssoft' = '<SYSTEM32>\devmon.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- <SYSTEM32>\devmon.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\auto.bat
- <SYSTEM32>\netstat.exe -a -n
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: DisplayMgr.sys
Скрывает следующие процессы:
- <SYSTEM32>\devmon.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Mcro\excel.xls_
- <SYSTEM32>\Mcro\excel4.xls_
- <SYSTEM32>\Mcro\winword2.doc
- <SYSTEM32>\Mcro\port.tmp
- <SYSTEM32>\Mcro\20120627_10002_.tmp
- <SYSTEM32>\auto.bat
- <SYSTEM32>\Mcro\winword.doc_
- <SYSTEM32>\Mcro\winword2.doc_
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
- <SYSTEM32>\log.txt
- <SYSTEM32>\devmon.exe
- <DRIVERS>\DisplayMgr.sys
- <SYSTEM32>\Mcro\excel4.xls
- <SYSTEM32>\Mcro\winword.doc
- <SYSTEM32>\Mcro\Info.tmp
- <SYSTEM32>\Mcro\excel.xls
Удаляет следующие файлы:
- <SYSTEM32>\Mcro\winword.doc
- <SYSTEM32>\Mcro\port.tmp
- <SYSTEM32>\Mcro\Info.tmp
- <SYSTEM32>\Mcro\winword2.doc_
- <SYSTEM32>\Mcro\winword2.doc
- <SYSTEM32>\Mcro\winword.doc_
- <SYSTEM32>\Mcro\excel.xls
- <SYSTEM32>\Mcro\20120627_10002_.tmp
- <SYSTEM32>\log.txt
- <SYSTEM32>\Mcro\excel4.xls_
- <SYSTEM32>\Mcro\excel4.xls
- <SYSTEM32>\Mcro\excel.xls_
Самоудаляется.
Сетевая активность:
Подключается к:
- '67.##5.160.76':465
- 'ch####p.dyndns.org':80
TCP:
Запросы HTTP GET:
- ch####p.dyndns.org/
UDP:
- DNS ASK sm##.#ail.yahoo.com
- DNS ASK ch####p.dyndns.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
