Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\b0000620d.dll] 'Name' = '<SYSTEM32>\spool\PRTPROCS\W32X86\b0000620d.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Windows MSI] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\spoolsv.exe' = '<SYSTEM32>\spoolsv.exe:*:Enabled:spoolsv.exe'
Создает и запускает на исполнение:
- %TEMP%\00007bd2.exe
- <SYSTEM32>\msihost.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\00002eda
- %WINDIR%\Temp\00005b9b
- <SYSTEM32>\spool\prtprocs\w32x86\b0000620d.dll
- <SYSTEM32>\msihost.exe
- %TEMP%\00007bd2.exe
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':80
- '25#.#55.255.255':0
- 'ne###truct.com':80
TCP:
Запросы HTTP GET:
- <IP-адрес в локальной сети>/home.asp
- <IP-адрес в локальной сети>/wizard.htm
- <IP-адрес в локальной сети>/login.asp
- <IP-адрес в локальной сети>/index.asp
- <IP-адрес в локальной сети>/dlink/hwiz.html
- <IP-адрес в локальной сети>/
Запросы HTTP POST:
- ne###truct.com/k.php
UDP:
- DNS ASK ne###truct.com
- '23#.#55.255.250':1900
