Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelp32] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\WinHelp32.exe'
- '%TEMP%\sg_test_10.exe'
- '%TEMP%\1.exe'
Запускает на исполнение:
- '%PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE' http://20#.##.108.37:8088/10.html
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtTerminateProcess, драйвер-обработчик: DOWIRE.sys
- NtQuerySystemInformation, драйвер-обработчик: DOWIRE.sys
Скрывает следующие процессы:
- %TEMP%\sg_test_10.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\r.dat
- <SYSTEM32>\DOWIRE.sys
- %PROGRAM_FILES%\Internet Explorer\WinHelp32.exe
- %TEMP%\1.exe
- %TEMP%\sg_test_10.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\Internet Explorer\WinHelp32.exe
Удаляет следующие файлы:
- %TEMP%\1.exe
Сетевая активность:
Подключается к:
- '59.##.68.170':8080
- '20#.#5.108.37':8088
- 'localhost':1037
UDP:
- DNS ASK vv.##zhikan.com
- 'vv.##zhikan.com':37211
- 'localhost':1035
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
