Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode disable
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\SH_SAVE.ini
Удаляет следующие файлы:
- <Полный путь к файлу>
Сетевая активность:
Подключается к:
- 'localhost':1038
- 'ca##.naver.com':80
- 'eg##g.org':80
TCP:
Запросы HTTP GET:
- http://ca##.naver.com/ww2017ww
- http://eg##g.org//iCHEAT/SuddenAttack/original.zip
UDP:
- DNS ASK ca##.naver.com
- DNS ASK eg##g.org
Другое:
Ищет следующие окна:
- ClassName: 'bbff' WindowName: '<Полный путь к файлу>'
- ClassName: '#32771' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c netsh firewall set opmode disable
- '%ProgramFiles%\Internet Explorer\IEXPLORE.EXE' -nohome
- '<SYSTEM32>\cmd.exe' /c del /F "%WINDIR%\SHOW_TIME\mnduser.exe"
- '<SYSTEM32>\cmd.exe' /c del /F "%WINDIR%\expIorer.dll"
