Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\MsUpdateTask.job
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\reggi] 'Start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\fanii] 'Start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\Schedule] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe /s "%WINDIR%\msnsi4.dll",SendStatisticDataOnInstall
- <SYSTEM32>\rundll32.exe %WINDIR%\msnsi4.dll,fnOpen
- <SYSTEM32>\rundll32.exe "%TEMP%\nsi3.tmp\BackOperHelper.dll",CloseExistedDllByRundll32 %WINDIR%\msnsi4.dll
- <SYSTEM32>\rundll32.exe /s "%WINDIR%\msnsi4.dll",UpdateIFEOInfo
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtSetValueKey, драйвер-обработчик: reggi.sys
- NtDeleteValueKey, драйвер-обработчик: reggi.sys
- NtDeleteKey, драйвер-обработчик: reggi.sys
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\msnsi4.dll
- %WINDIR%\reggi.sys
- <DRIVERS>\reggi.sys
- <DRIVERS>\fanii.sys
- %TEMP%\nsm2.tmp
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- %WINDIR%\fanii.sys
- %TEMP%\nsi3.tmp\BackOperHelper.dll
Удаляет следующие файлы:
- %TEMP%\nsi3.tmp\BackOperHelper.dll
Сетевая активность:
Подключается к:
- 'to##.kaola.cn':80
TCP:
Запросы HTTP POST:
- to##.kaola.cn/toolPage/toolSn.jsp
UDP:
- DNS ASK to##.kaola.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
