Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Sidebar' = '%APPDATA%\Roaming\svchost.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\svchost] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\dw20.exe' -x -s 3092
- '<SYSTEM32>\Dwm.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\Dwm.exe
- <SYSTEM32>\taskhost.exe
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\patch.dll
- %APPDATA%\Roaming\svchost.exe
- <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\wnknv3g8.newcfg
- <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\ivlvi7ib.newcfg
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\patch.dll
- <Полный путь к вирусу>
- %APPDATA%\Roaming\svchost.exe
Перемещает следующие файлы:
- <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\ivlvi7ib.newcfg в <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\user.config
- <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\wnknv3g8.newcfg в <LS_APPDATA>\Microsoft\<Имя вируса>.exe_Url_hqhyc0ccon4alkgxc4ifkamnb3wj00nb\1.0.0.0\user.config
Сетевая активность:
Подключается к:
- 'sh###eoj148.in':80
- '74.##5.232.51':80
TCP:
Запросы HTTP GET:
- 74.##5.232.51/
Запросы HTTP POST:
- sh###eoj148.in/panel/run.php
UDP:
- DNS ASK sh###eoj148.in
- DNS ASK www.google.com
