Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\PROTOCOLS\Handler\http] 'CLSID' = '{EF767C6F-E89B-4E77-9758-DDA827EFE7BC}'
- [<HKLM>\SOFTWARE\Classes\PROTOCOLS\Filter\text/html] 'CLSID' = '{EF767C6F-E89B-4E77-9758-DDA827EFE7BC}'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\mrovzwfb] 'Start' = '00000000'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\mrovzwfb.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\dsetup.bat
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\IEMaster.dll
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryDirectoryFile, драйвер-обработчик: gemihrpt.sys
- NtQuerySystemInformation, драйвер-обработчик: gemihrpt.sys
- NtEnumerateKey, драйвер-обработчик: gemihrpt.sys
- NtEnumerateValueKey, драйвер-обработчик: gemihrpt.sys
Скрывает следующие процессы:
- %WINDIR%\mrovzwfb.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\mrovzwfb.exe
- <Текущая директория>\dsetup.bat
- <SYSTEM32>\IEMaster.dll
- <DRIVERS>\gemihrpt.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'pt#.otrd.cn':80
- 'xa####.11ave.net':80
- 'xa###.11ave.net':80
- 'gx#.#1ave.net':80
TCP:
Запросы HTTP GET:
- pt#.otrd.cn/cike.php?fi##################################################
- xa####.11ave.net/cike.php?fi##################################################
- xa###.11ave.net/cike.php?fi##################################################
- gx#.#1ave.net/cike.php?fi##################################################
UDP:
- DNS ASK pt#.otrd.cn
- DNS ASK xa####.11ave.net
- DNS ASK xa###.11ave.net
- DNS ASK gx#.#1ave.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
