Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SonyAgent' = '<Полный путь к вирусу>'
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\npf.sys
- <SYSTEM32>\wpcap.dll
- <SYSTEM32>\Packet.dll
Сетевая активность:
Подключается к:
- '18#.#30.17.225':80
- 'localhost':1074
- 'localhost':1077
- 'localhost':1080
- '94.##6.198.20':80
- 'localhost':1068
- '89.#36.0.90':80
- '17#.#47.3.24':80
- '19#.#42.122.94':80
- 'localhost':1071
- '89.##5.162.87':80
- 'localhost':1092
- '78.##.103.203':80
- '93.##1.147.19':80
- '78.##.251.32':80
- '46.##4.27.58':80
- '21#.#96.198.21':80
- 'localhost':1083
- 'localhost':1086
- 'localhost':1089
- '59.##8.115.88':80
- 'localhost':1044
- '95.##.205.47':80
- '10#.#07.121.8':80
- '86.##0.247.52':80
- 'localhost':1047
- '19#.#61.215.57':80
- 'localhost':1035
- 'localhost':1038
- 'localhost':1041
- '17#.#72.198.3':80
- 'localhost':1050
- '18#.#38.223.4':80
- 'localhost':1059
- 'localhost':1062
- 'localhost':1065
- '80.##3.174.22':80
- 'localhost':1053
- '17#.#9.206.148':80
- '91.##5.186.3':80
- '22#.#66.66.41':80
- 'localhost':1056
TCP:
Запросы HTTP GET:
- 78.##.251.32/login.htm
- 46.##4.27.58/main.htm
- 21#.#96.198.21/start.htm
