Техническая информация
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\zFnJh.exe'
- '<SYSTEM32>\wins\tJmUeM\aKzTl.exe'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\WAhgOQjM\PPxmQnUa.dat
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\ip138[1]
- <SYSTEM32>\zFnJh.exe
- %WINDIR%\kb_download.log
- %WINDIR%\config.ini
- <SYSTEM32>\wins\tJmUeM\aKzTl.exe
- <SYSTEM32>\wins\tJmUeM\ЙиЦГ.txt
- %WINDIR%\xCriMM.dll
- %WINDIR%\WAhgOQjM\RBlJEdM.dll
- %WINDIR%\CLOG.txt
Удаляет следующие файлы:
- <SYSTEM32>\wins\tJmUeM\aKzTl.exe
- %WINDIR%\WAhgOQjM\PPxmQnUa.dat
- %WINDIR%\xCriMM.dll
Сетевая активность:
Подключается к:
- 'nj####jz.kuaibu8.cn':7000
- 'yr####vn.tixian8.cn':7000
- 'localhost':1047
- 'vl####rd.kuaibu8.cn':7000
- 'sc####wi.kuaibu8.cn':7000
- 'mo####ag.kuaibu8.cn':7000
- 'ip.#atr.cn':80
- 'www.go##0.com':80
- 'cn##.58ad.cn':80
- 'www.58##y.com':80
- '<L###LNET>.0.2':80
- 'www.ip##8.com':80
- 'localhost':1041
TCP:
Запросы HTTP GET:
- http://www.ip##8.com/
- http:// via <L###LNET>.0.2
- http://ip.#atr.cn/
- http://www.58##y.com/index/getcfg?id######
- http://cn##.58ad.cn/index/getcfg?id######
- http://www.go##0.com/d2/CDClient.dll
UDP:
- DNS ASK nj####jz.kuaibu8.cn
- DNS ASK ez####lv.kuaibu8.cn
- DNS ASK mo####ag.kuaibu8.cn
- DNS ASK vl####rd.kuaibu8.cn
- DNS ASK sc####wi.kuaibu8.cn
- DNS ASK yr####vn.tixian8.cn
- DNS ASK cn##.58ad.cn
- DNS ASK www.58##y.com
- DNS ASK www.go##0.com
- DNS ASK ip.#atr.cn
- DNS ASK www.ip##8.com
Другое:
Ищет следующие окна:
- ClassName: 'TApplication' WindowName: 'eyoorun'
