Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptmsh] 'Startup' = 'ServiceMain'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptmsh] 'DllName' = ''
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\KRL.bat" %WINDIR%\IJY.dll"
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\LDH.bat" <Полный путь к вирусу>"
- <SYSTEM32>\regsvr32.exe /s %WINDIR%\IJY.dll
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\LDH.bat
- %WINDIR%\KRL.bat
- %WINDIR%\IJY.dll
- <SYSTEM32>\msh263.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\msh263.dll
Удаляет следующие файлы:
- %WINDIR%\IJY.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'st####lll.vicp.cc':80
- 'hi##.vicp.cc':80
- 'hi##.#tarballl.cn':80
- 'sm###.gicp.net':80
- 'sm##.#tarballl.cn':80
TCP:
Запросы HTTP GET:
- st####lll.vicp.cc/y.asp
- hi##.vicp.cc/y.asp
- hi##.#tarballl.cn/y.asp
- sm###.gicp.net/y.asp
- sm##.#tarballl.cn/y.asp
UDP:
- DNS ASK st####lll.vicp.cc
- DNS ASK hi##.vicp.cc
- DNS ASK hi##.#tarballl.cn
- DNS ASK sm###.gicp.net
- DNS ASK sm##.#tarballl.cn
