Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ktacenc' = '%WINDIR%\ktacenc.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'hjyxdll' = '%WINDIR%\hjyxdll.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows VisFx Components] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\hbmqsvc.exe -i
- %WINDIR%\hjyxdll.exe
- %WINDIR%\ktacenc.exe
- <SYSTEM32>\thin-94-1-x-x.exe
- <SYSTEM32>\VFX602.exe
- <SYSTEM32>\InstallerV3.exe
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ofxnm.dat
- %TEMP%\nsn3.tmp
- %WINDIR%\ktacenc.exe
- %WINDIR%\hjyxdll.exe
- %WINDIR%\tfxnm.dat
- %WINDIR%\lupd.dat
- %TEMP%\nsm5.tmp
- %WINDIR%\nxui.dat
- C:\dbg.txt
- %WINDIR%\uid24.key
- %WINDIR%\sfxnm.dat
- %WINDIR%\hbmqsvc.exe
- <SYSTEM32>\InstallerV3.exe
- <SYSTEM32>\thin-94-1-x-x.exe
- <SYSTEM32>\VFX602.exe
- %WINDIR%\visfxun.exe
- %WINDIR%\sfwv.dat
- %TEMP%\nss4.tmp\nsisdl.dll
- %WINDIR%\ISSM0064.DAT
- %TEMP%\ExtractDLL.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\ktacenc.exe
- %WINDIR%\hjyxdll.exe
- %WINDIR%\hbmqsvc.exe
Удаляет следующие файлы:
- %TEMP%\nsn3.tmp
Сетевая активность:
Подключается к:
- 'th#######.abetterinternet.com':80
- 'www.po###stop.com':80
TCP:
Запросы HTTP GET:
- www.po###stop.com/dist/COMMCOS2.DLL_1.07.compress
- www.po###stop.com/SupportFiles/msxml3a.dll.compress
Запросы HTTP POST:
- th#######.abetterinternet.com/bi/servlet/ThinstallPre
UDP:
- DNS ASK th#######.abetterinternet.com
- DNS ASK www.po###stop.com
