Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\desktop.ini
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Desktop.lnk
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'GBDYLLO', WindowName: ''
- ClassName: 'pediy06', WindowName: ''
- ClassName: 'FilemonClass', WindowName: ''
- ClassName: '', WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: '', WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'Regmonclass', WindowName: ''
Сетевая активность:
Подключается к:
- 'u2.##rryblog.pw':80
- 'to#.##rryblog.pw':3888
TCP:
Запросы HTTP GET:
- http://u2.##rryblog.pw/1.php
UDP:
- DNS ASK u2.##rryblog.pw
- DNS ASK to#.##rryblog.pw
Другое:
Ищет следующие окна:
- ClassName: '18467-41' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\svchost.exe' -o tok.harryblog.pw:3888 -u zxpt@s.proprietativalcea.ro -p x -B --donate-level 1 --cpu-priority 0 --max-cpu-usage=15 --safe
