Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'WMAFile'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PWNAGE' = '<DRIVERS>\cod2Hack.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\taskkill.exe /f /im Xfire.exe
- <SYSTEM32>\attrib.exe +h "cod2Hack.exe"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\cod2Hack.bat""
- <SYSTEM32>\rundll32.exe user32,SwapMouseButton
- <SYSTEM32>\reg.exe add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v PWNAGE /t REG_SZ /d <DRIVERS>\cod2Hack.exe /f
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\12907.4562
- <SYSTEM32>\8487.18809
- %WINDIR%\28869.28807
- <SYSTEM32>\6895.29303
- %WINDIR%\76.14837
- <SYSTEM32>\16946.11714
- %WINDIR%\12354.29812
- <SYSTEM32>\20619.29236
- %WINDIR%\7071.9119
- <SYSTEM32>\19708.11873
- %WINDIR%\18456.6830
- <SYSTEM32>\30576.2187
- %WINDIR%\16316.24355
- <SYSTEM32>\10925.12657
- %WINDIR%\24695.2786
- <SYSTEM32>\8416.11291
- %WINDIR%\13116.1600
- <SYSTEM32>\17721.10031
- %WINDIR%\4060.10397
- <SYSTEM32>\32042.31710
- %WINDIR%\12619.9948
- <SYSTEM32>\17742.27253
- %WINDIR%\15356.27666
- <SYSTEM32>\8020.21229
- %WINDIR%\18481.4009
- <SYSTEM32>\23111.16684
- %WINDIR%\8049.9783
- <SYSTEM32>\24022.273
- %WINDIR%\10488.32202
- <SYSTEM32>\21541.6801
- %WINDIR%\21256.3554
- <SYSTEM32>\3903.5358
- %WINDIR%\9703.91
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\biggaytube[1]
- %WINDIR%\28490.14931
- <SYSTEM32>\32710.17589
- %WINDIR%\23361.14339
- <SYSTEM32>\27647.14146
- %WINDIR%\352.14851
- <SYSTEM32>\1249.14049
- %WINDIR%\22085.20576
- <SYSTEM32>\12428.17897
- %WINDIR%\4241.4815
- <SYSTEM32>\7716.23535
- %WINDIR%\5939.20004
- <SYSTEM32>\31603.7958
- %WINDIR%\2986.28901
- <SYSTEM32>\12269.25499
- %WINDIR%\24001.19246
- <SYSTEM32>\23800.4183
- %WINDIR%\736.24245
- <SYSTEM32>\24698.30537
- %WINDIR%\2741.1111
- <SYSTEM32>\31723.1070
- %WINDIR%\7135.10445
- <SYSTEM32>\5555.9442
- %WINDIR%\12906.5740
- <SYSTEM32>\17944.235
- %WINDIR%\7194.11275
- <SYSTEM32>\2411.15157
- %WINDIR%\24055.7104
- <SYSTEM32>\17644.25536
- %WINDIR%\25978.29307
- <SYSTEM32>\29114.22774
- %WINDIR%\5803.31165
- <SYSTEM32>\22697.19823
- %TEMP%\1.tmp\cod2Hack.bat
- <SYSTEM32>\27403.22923
- %WINDIR%\5133.13809
- <SYSTEM32>\11250.21971
- %WINDIR%\26430.21830
- <SYSTEM32>\30211.7739
- %WINDIR%\31918.16306
- <SYSTEM32>\22546.12188
- %WINDIR%\14382.23894
- <SYSTEM32>\27929.5878
- %WINDIR%\10775.15864
- <SYSTEM32>\23608.28354
- %WINDIR%\5920.23161
- <SYSTEM32>\32101.17064
- %WINDIR%\18939.19228
- <SYSTEM32>\17670.20014
- %WINDIR%\13613.16698
- <SYSTEM32>\16550.25500
- %WINDIR%\15988.3032
- <SYSTEM32>\14061.25053
- %WINDIR%\27316.18601
- <SYSTEM32>\27168.1918
- %WINDIR%\14567.7995
- <SYSTEM32>\15002.19293
- %WINDIR%\18083.2448
- <SYSTEM32>\19056.27781
- %WINDIR%\5801.3716
- <SYSTEM32>\3533.15951
- %WINDIR%\29581.20079
- <SYSTEM32>\14152.16176
- %WINDIR%\4943.31197
- <SYSTEM32>\10815.13503
- %WINDIR%\5313.26280
- <SYSTEM32>\2528.18785
Удаляет следующие файлы:
- %TEMP%\1.tmp\cod2Hack.bat
Сетевая активность:
Подключается к:
- 'www.bi###ytube.com':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- www.bi###ytube.com/
UDP:
- DNS ASK www.bi###ytube.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
