Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'VERS_IP02' = '<SYSTEM32>\updt\sys_32ip.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\updt\sys_32ip.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe J_Y.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'J_Y' = '%WINDIR%\J_Y.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\J_Y.Jpg
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\J_Y.WoRm.Jpg
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %WINDIR%\J-Y.WoRm.Jpg
Запускает на исполнение:
- %WINDIR%\explorer.exe
- %WINDIR%\NOTEPAD.EXE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
- ClassName: '' WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'RegmonClass' WindowName: ''
- ClassName: '' WindowName: 'File Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'GBDYLLO' WindowName: ''
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FilemonClass' WindowName: ''
- ClassName: 'pediy06' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\updt\sys_32ip.exe
- C:\J_Y.WoRm.Jpg
- %WINDIR%\AuToRuN.InF
- %TEMP%\aut3.tmp
- C:\J_Y.Jpg
- C:\autorun.inf
- %TEMP%\aut1.tmp
- %WINDIR%\J_Y.exe
- %WINDIR%\J_Y.WoRm.Jpg
- %WINDIR%\J_Y.Jpg
- %TEMP%\aut2.tmp
- %WINDIR%\J-Y.WoRm.Jpg
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\J_Y.Jpg
- <SYSTEM32>\updt\sys_32ip.exe
- C:\autorun.inf
- C:\J_Y.Jpg
Удаляет следующие файлы:
- C:\autorun.inf
- %WINDIR%\AuToRuN.InF
- %TEMP%\aut3.tmp
- <Имя диска съемного носителя>:\J_Y.Jpg
- <Имя диска съемного носителя>:\autorun.inf
- C:\J_Y.Jpg
- %WINDIR%\J-Y.WoRm.Jpg
- %TEMP%\aut1.tmp
- %WINDIR%\J_Y.exe
- %WINDIR%\J_Y.WoRm.Jpg
- <Имя диска съемного носителя>:\J_Y.WoRm.Jpg
- C:\J_Y.WoRm.Jpg
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- 'wi###.no-ip.biz':4545
UDP:
- DNS ASK wi###.no-ip.biz
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: '#32770' WindowName: 'Program Manager'
- ClassName: 'Indicator' WindowName: ''
- ClassName: '18467-41' WindowName: ''
