Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\RegServ] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\RegServ.exe
- <SYSTEM32>\RegServ.exe /install /silent
Запускает на исполнение:
- <SYSTEM32>\net1.exe start RegServ
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\wmidcvdat.dll"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wbem\duuduu.ace
- <SYSTEM32>\ccollor.dll
- <SYSTEM32>\wbem\433dss.iis
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\pprich2[1].exe
- <SYSTEM32>\wmiper.dat
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\Info[1].txt
- %WINDIR%\PPRich.exe
- <DRIVERS>\IESetInfo.txt
- <SYSTEM32>\wmidcvdat.dll
- <SYSTEM32>\hwd_Had091.dat
- <SYSTEM32>\3432xxx.dat
- <SYSTEM32>\dsfwenap.dll
- <SYSTEM32>\RegServ.exe
- <SYSTEM32>\kiltes.dll
Сетевая активность:
Подключается к:
- 'do##.pprich.com':80
- 'www.mo##ad.com':80
- 'www.qq.com':80
- 'ad.##kead.com':80
- 'localhost':1039
TCP:
Запросы HTTP GET:
- do##.pprich.com/pprich2.exe
- www.mo##ad.com/config/Info.txt
- www.qq.com/
- ad.##kead.com/start.asp?id##
- ad.##kead.com/starts.asp?id#############
UDP:
- DNS ASK do##.pprich.com
- DNS ASK www.mo##ad.com
- DNS ASK ad.##kead.com
- DNS ASK www.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
