Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\metqvs] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\htqhqm] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe stop htqhqm
- <SYSTEM32>\sc.exe create metqvs type= kernel start= auto binpath= "%ALLUSERSPROFILE%\Application Data\WHTHXUX\metqvs.bin"
- <SYSTEM32>\sc.exe start htqhqm
- <SYSTEM32>\sc.exe create htqhqm type= kernel binpath= "%ALLUSERSPROFILE%\Application Data\WHTHXUX\htqhqm.bin" start= auto
- <SYSTEM32>\sc.exe stop null
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Help\rt6244.hlp
- %WINDIR%\msagent\pdn2103
- %WINDIR%\Help\sy4995.hlp
- %WINDIR%\Temp\{1372ff52-be29-4475-00bf-5edbe7746299}
- %ALLUSERSPROFILE%\Application Data\WHTHXUX\metqvs.bin
- %TEMP%\1.tmp
- %ALLUSERSPROFILE%\Application Data\WHTHXUX\tza9557.nfo
- %ALLUSERSPROFILE%\Application Data\WHTHXUX\htqhqm.bin
- %WINDIR%\inf\su3491.PNF
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\pab[1].php
Удаляет следующие файлы:
- %TEMP%\1.tmp
- %ALLUSERSPROFILE%\Application Data\WHTHXUX\metqvs.bin
- %ALLUSERSPROFILE%\Application Data\WHTHXUX\htqhqm.bin
Сетевая активность:
Подключается к:
- 'rp.##q88.com':80
- 'up##.21civ.com':80
- 'rp##.21civ.com':80
TCP:
Запросы HTTP GET:
- up##.21civ.com/pab.php?b=######################################
- rp.##q88.com/rp.php?om#################################################################
- rp##.21civ.com/az.php?st####################################
- rp##.21civ.com/wb.php?o=##########################
UDP:
- DNS ASK rp.##q88.com
- DNS ASK www.ba##u.com
- DNS ASK rp##.21civ.com
- DNS ASK up##.21civ.com
