Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update Background Intelligent Transfer Service' = '<LS_APPDATA>\HUR\[system process]svc.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<LS_APPDATA>\HUR\[system process]svc.exe' = '<LS_APPDATA>\HUR\[system ...
Создает и запускает на исполнение:
- '<LS_APPDATA>\HUR\win360tray.exe'
- '<LS_APPDATA>\HUR\[system process]svc.exe'
Запускает на исполнение:
- '<LS_APPDATA>\HUR\win360tray.exe'
- '<SYSTEM32>\netsh.exe' firewall add allowedprogram "<LS_APPDATA>\HUR\[system process]svc.exe" "Update Background Intelligent Transfer Service" ENABLE
- '<LS_APPDATA>\HUR\[system process]svc.exe'
Внедряет код в
следующие пользовательские процессы:
- [system process]svc.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\cat[1].php
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\e[1].php
- <LS_APPDATA>\HUR\[system process]svc.exe
- <LS_APPDATA>\HUR\win360tray.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ip####chforum.biz':80
- 'ca###odtop.biz':80
TCP:
Запросы HTTP GET:
- http://ip####chforum.biz/e.php
- http://ca###odtop.biz/cat.php
UDP:
- DNS ASK ip####chforum.biz
- DNS ASK ca###odtop.biz
