Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\net1.exe localgroup %USERNAME%s UndeadNet /add
- <SYSTEM32>\net1.exe user UndeadNet /add
- %WINDIR%\regedit.exe /s %TEMP%\HideUser.reg
- <SYSTEM32>\netsh.exe firewall set opmode mode=disable
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\attrib.exe -r -h "%TEMP%\1.tmp\Undeadnet.bat"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\Undeadnet.bat""
- <SYSTEM32>\attrib.exe -r -h C:\Undeadnet.bat
- <SYSTEM32>\ipconfig.exe /all
- <SYSTEM32>\cscript.exe IpScan.js
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\ipconfig.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\n09230945[1].asp
- %TEMP%\HideUser.reg
- <Текущая директория>\Command.dll
- %TEMP%\1.tmp\Undeadnet.bat
- <Текущая директория>\ip.txt
- <Текущая директория>\IpScan.js
Удаляет следующие файлы:
- %TEMP%\HideUser.reg
Сетевая активность:
Подключается к:
- 'www.wh###smyip.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.wh###smyip.com/automation/n09230945.asp
UDP:
- DNS ASK www.wh###smyip.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
