Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SysBoot' = '%WINDIR%\ctfmon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\ctfmon.exe'
Запускает на исполнение:
- '<SYSTEM32>\ntvdm.exe' -f -i3
- '<SYSTEM32>\ntvdm.exe' -f -i4
- '<SYSTEM32>\ntvdm.exe' -f -i1
- '<SYSTEM32>\ntvdm.exe' -f -i2
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\scs5.tmp
- <SYSTEM32>\systen.exe
- %WINDIR%\Temp\scs4.tmp
- %WINDIR%\Temp\scs6.tmp
- %WINDIR%\Temp\scs8.tmp
- %WINDIR%\Temp\scs7.tmp
- %WINDIR%\dwin.exe
- %WINDIR%\hostdll.exe
- %WINDIR%\mastorscorps.cfg
- %WINDIR%\ctfmon.exe
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs3.tmp
- <SYSTEM32>\systens.exe
- %WINDIR%\Temp\scs2.tmp
Удаляет следующие файлы:
- %WINDIR%\Temp\scs4.tmp
- %WINDIR%\Temp\scs3.tmp
- %WINDIR%\Temp\scs8.tmp
- %WINDIR%\Temp\scs7.tmp
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
- %WINDIR%\Temp\scs6.tmp
- %WINDIR%\Temp\scs5.tmp
Сетевая активность:
Подключается к:
- 'un#####tack.no-ip.info':80
- 'www.st##k.co.th':80
- 'co#######lientesdodia.t35.com':80
TCP:
Запросы HTTP GET:
- www.st##k.co.th/css/fox.exe
- www.st##k.co.th/css/upgrade.exe
- www.st##k.co.th/css/protect.exe
- www.st##k.co.th/css/fox2.exe
Запросы HTTP POST:
- co#######lientesdodia.t35.com/i.php
UDP:
- DNS ASK www.go###e.com.br
- DNS ASK un#####tack.no-ip.info
- DNS ASK co#######lientesdodia.t35.com
- DNS ASK www.st##k.co.th
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b74.b78.3a0007'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b88.b8c.3b0008'
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b60.b64.390002'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b4c.b50.380001'
