Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\svchsot] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\ulxqqj.exe' = '<SYSTEM32>\ulxqqj.exe:*:Enabled:Microsoft (R) Internetal IExplore'
Создает и запускает на исполнение:
- <SYSTEM32>\ulxqqj.exe
- <Текущая директория>\svcghsot.exe
- <Текущая директория>\iexplore.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'pediy06' WindowName: ''
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\svcghsot.exe
- <SYSTEM32>\ulxqqj.exe
- %TEMP%\nsb2.tmp\System.dll
- <Текущая директория>\iexplore.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\svcghsot.exe
- <Текущая директория>\iexplore.exe
Удаляет следующие файлы:
- %TEMP%\nsb2.tmp\System.dll
Сетевая активность:
Подключается к:
- 'an##.myftp.org':8888
UDP:
- DNS ASK an##.myftp.org
