Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\apppatch\qzbealb.dat,'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall set allowedprogram \??\<SYSTEM32>\winlogon.exe ENABLE
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\spoolsv.exe
следующие пользовательские процессы:
- opera.exe
Ищет следующие окна с целью
обхода различных антивирусов:
- ClassName: 'AVP.MainWindow' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\home[1].htm
- %WINDIR%\Temp\2FC0.tmp
- %TEMP%\espC382.tmp
- %WINDIR%\AppPatch\qzbealb.dat
Удаляет следующие файлы:
- %WINDIR%\Temp\2FC0.tmp
- %TEMP%\espC382.tmp
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '74.##5.232.51':80
- 'me###alpinx.com':80
TCP:
Запросы HTTP POST:
- me###alpinx.com/news.php
- me###alpinx.com/home.php
UDP:
- DNS ASK google.com
- DNS ASK me###alpinx.com
- '<IP-адрес в локальной сети>':1034
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Kaspersky Virus Removal Tool 2010'
- ClassName: 'Malwarebytes' WindowName: 'ThunderRT6FormDC'
- ClassName: 'OSAM: Autorun Manager' WindowName: '#32770'
- ClassName: '' WindowName: '???????????? ??????? AVZ'
- ClassName: '' WindowName: 'random'
- ClassName: 'ThunderRT6FormDC' WindowName: ''
