Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet002\Services\gowfwxr] 'ImagePath' = '<DRIVERS>\gowfwxr.sys'
- [<HKLM>\SYSTEM\ControlSet002\Services\gowfwxr] 'Start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\gowfwxr] 'Start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\gowfwxr] 'ImagePath' = '<DRIVERS>\gowfwxr.sys'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\services.exe' = '<SYSTEM32>\services.exe:*:Enabled:ENABLE'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set allowedprogram <SYSTEM32>\services.exe ENABLE
Внедряет код в
следующие системные процессы:
Ищет следующие окна с целью
обхода различных антивирусов:
- ClassName: '____AVP.Root', WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\gowfwxr.sys
- %WINDIR%\Temp\sys408.tmp
- %TEMP%\espF9CB.tmp
Удаляет следующие файлы:
- <Полный путь к файлу>
- %TEMP%\espF9CB.tmp
- %WINDIR%\Temp\sys408.tmp
Перемещает следующие файлы:
- <Полный путь к файлу> в %TEMP%\tmp5188.tmp
Сетевая активность:
Подключается к:
- '64##846.net':80
TCP:
Запросы HTTP POST:
- http:///wp-login.php via 64##846.net
UDP:
- DNS ASK 64##846.net
