Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'devwin' = 'devwin.exe'
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run] 'devwin' = 'devwin.exe'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'c:\0jpz.exe' = 'c:\0jpz.exe:*:Enabled:devwin'
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram 1.exe 1 ENABLE
Ищет следующие окна с целью
обнаружения различных программ и игр:
- ClassName: '_Oscar_StatusNotify', WindowName: ''
- ClassName: 'MSNHiddenWindowClass', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- C:\0jpz.exe
- %WINDIR%\devwin.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\devwin.exe
Сетевая активность
UDP
- DNS ASK ir#.#ytuxx.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'abc'
- ClassName: '__oxFrame.class__' WindowName: ''
- ClassName: 'TskMultiChatForm.UnicodeClass' WindowName: ''
- ClassName: 'Message Session' WindowName: ''
Создает и запускает на исполнение
- 'C:\0jpz.exe'
- '%WINDIR%\devwin.exe'
- 'C:\0jpz.exe' ' (со скрытым окном)
- '%WINDIR%\devwin.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram 1.exe 1 ENABLE' (со скрытым окном)
