Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Driver] 'ImagePath' = 'c:\Driver.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\DBNW0YO0U0AQ0W0CT1Z1FV1] 'ImagePath' = '%TEMP%\DBNW0YO0U0AQ0W0CT1Z1FV1.dat'
Вредоносные функции:
Создает и запускает на исполнение:
- '' (загружен из сети Интернет)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\ADriver.dll
- C:\Driver.sys
- %TEMP%\1HX1D1RH9ND9J9PF9L9RI0O0U0.exe
- %TEMP%\DBNW0YO0U0AQ0W0CT1Z1FV1.dat
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\5yyw[1].txt
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\5yyw[1].exe
- %TEMP%\MZђ
Удаляет следующие файлы:
- %TEMP%\DBNW0YO0U0AQ0W0CT1Z1FV1.dat
Сетевая активность:
Подключается к:
- 'pf##j.cn':80
- '5y#w.cn':80
- 'lo######t.ptlogin2.qq.com':4300
TCP:
Запросы HTTP GET:
- http://www.pf##j.cn/3.txt via pf##j.cn
- http://5y#w.cn/config/5yyw.txt
- http://5y#w.cn/config/5yyw.exe
UDP:
- DNS ASK www.pf##j.cn
- DNS ASK 5y#w.cn
- DNS ASK lo######t.ptlogin2.qq.com
Другое:
Создает и запускает на исполнение:
- '%TEMP%\1HX1D1RH9ND9J9PF9L9RI0O0U0.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c sc config "UxSms" start= demand
- '<SYSTEM32>\sc.exe' config "UxSms" start= demand
- '<SYSTEM32>\svchost.exe'
