Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\vVLWXt7z4W] 'ImagePath' = '<DRIVERS>\vVLWXt7z4W.sys'
Изменяет следующие исполняемые системные файлы:
- <SYSTEM32>\libeay32.dll
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\\8YeHbC.bat""
- '<SYSTEM32>\ping.exe' -n 2 127.1
- '<Текущая директория>\NetDncc.exe'
- '%ALLUSERSPROFILE%\hjgb13lY.exe' %ALLUSERSPROFILE%\ysqO_Csk.dll
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: vVLWXt7z4W.sys
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\ysqO_Csk.dll
- %ALLUSERSPROFILE%\hjgb13lY.exe
- %TEMP%\8YeHbC.bat
- <Текущая директория>\NetDncc.exe
- <SYSTEM32>\blib.log
- <DRIVERS>\vVLWXt7z4W.sys
Удаляет следующие файлы:
- <DRIVERS>\vVLWXt7z4W.sys
- %ALLUSERSPROFILE%\hjgb13lY.exe
Сетевая активность:
Подключается к:
- 'localhost':1039
UDP:
- DNS ASK ip####ess.wb916.com
- DNS ASK www.qq.com
- DNS ASK c.##reg.com
- DNS ASK s.###ec.com.cn
- 's.###ec.com.cn':5049
