Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'System32' = '<SYSTEM32>\update32.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
Запускает на исполнение:
- <SYSTEM32>\ntvdm.exe -f -i4
- <SYSTEM32>\ntvdm.exe -f -i5
- <SYSTEM32>\ntvdm.exe -f -i6
- <SYSTEM32>\ntvdm.exe -f -i3
- <SYSTEM32>\netsh.exe firewall set allowedprogram '<Полный путь к вирусу>' enable
- <SYSTEM32>\ntvdm.exe -f -i1
- <SYSTEM32>\ntvdm.exe -f -i2
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\uudo[1].php
- %WINDIR%\Temp\scs3.tmp
- <SYSTEM32>\vx.tll
- %TEMP%\3.df1lb
- <SYSTEM32>\dlds7.exe
- %TEMP%\7.df1lb
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs4.tmp
- %WINDIR%\Temp\scsA.tmp
- %WINDIR%\Temp\scs9.tmp
- %WINDIR%\Temp\scsC.tmp
- %WINDIR%\Temp\scsB.tmp
- %WINDIR%\Temp\scs6.tmp
- %WINDIR%\Temp\scs5.tmp
- %WINDIR%\Temp\scs8.tmp
- %WINDIR%\Temp\scs7.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\proxy[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\search[1].jpg
- <SYSTEM32>\dlds8.exe
- <SYSTEM32>\dlds1.exe
- %TEMP%\1.df1lb
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\ccdo[1].php
- <SYSTEM32>\update32.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\srtytrewqertytrew[1].php
- %TEMP%\4.dflb
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\winlogon[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tool[1].jpg
- <SYSTEM32>\dlds5.exe
- <SYSTEM32>\dlds6.exe
- %TEMP%\6.df1lb
- <SYSTEM32>\dlds2.exe
- %TEMP%\2.df1lb
- %TEMP%\5.df1lb
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tibs[1].jpg
Удаляет следующие файлы:
- %WINDIR%\Temp\scs6.tmp
- %WINDIR%\Temp\scs7.tmp
- %WINDIR%\Temp\scs3.tmp
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs5.tmp
- %WINDIR%\Temp\scsC.tmp
- %WINDIR%\Temp\scsB.tmp
- %WINDIR%\Temp\scs8.tmp
- %WINDIR%\Temp\scsA.tmp
- %WINDIR%\Temp\scs9.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\winlogon[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tibs[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\search[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\ccdo[1].php
- <SYSTEM32>\dlds8.exe
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs4.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\uudo[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\tool[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\proxy[1].jpg
Сетевая активность:
Подключается к:
- 'localhost':1040
- 'v2####scount.net':80
TCP:
Запросы HTTP GET:
- v2####scount.net/newpic/tool.jpg
- v2####scount.net/newpic/tibs.jpg
- v2####scount.net/cc/uudo.php?af#####################################
- v2####scount.net/newpic/proxy.jpg
- v2####scount.net/cc/srtytrewqertytrew.php?af############################
- v2####scount.net/cc/ccdo.php?af######
- v2####scount.net/newpic/winlogon.jpg
- v2####scount.net/newpic/search.jpg
UDP:
- DNS ASK v2####scount.net
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bd4.bd8.3e0006'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bdc.be0.3f0007'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bec.bf0.400008'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-ba0.ba4.3b0001'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-ba8.bac.3c0002'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-bb8.bbc.3d0005'
