Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Wmisrv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\Wmisrv.exe'
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: NDISTCPIP.sys
- NtQueryDirectoryFile, драйвер-обработчик: NDISTCPIP.sys
- NtDeviceIoControlFile, драйвер-обработчик: NDISTCPIP.sys
Скрывает следующие процессы:
- <SYSTEM32>\Wmisrv.exe
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Wmisrv.exe
- <SYSTEM32>\Zipdg.dll
- <SYSTEM32>\NDISTCPIP.sys
- <SYSTEM32>\Wmisrv.cab
- <SYSTEM32>\WmiApp.dll
Удаляет следующие файлы:
- <SYSTEM32>\Wmisrv.cab
Сетевая активность:
Подключается к:
- 'my#####tech.vicp.net':80
TCP:
Запросы HTTP GET:
- my#####tech.vicp.nethttp://111.111.111.1:80/aspxabcdef.asp?/6######################################################################################################################################################################
UDP:
- DNS ASK my#####tech.vicp.net
