Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '╧╡═│▓╣╢б' = '<SYSTEM32>\Result1.vbe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\serverl.exe /port:3118 /pass:walwalwal
- %TEMP%\IXP000.TMP\boot.exe
Запускает на исполнение:
- <SYSTEM32>\ipconfig.exe /all
- <SYSTEM32>\find.exe "Reply from"
- <SYSTEM32>\wscript.exe "<SYSTEM32>\mail3.vbe"
- <SYSTEM32>\reg.exe ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v ╧╡═│▓╣╢б /t REG_SZ /d <SYSTEM32>\Result1.vbe /f
- <SYSTEM32>\ping.exe www.qq.com
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\system2.bat" "
- <SYSTEM32>\wscript.exe "<SYSTEM32>\Result1.vbe"
- <SYSTEM32>\net1.exe stop sharedaccess
- <SYSTEM32>\net.exe stop sharedaccess
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\raddrv.dll
- <SYSTEM32>\AdmDll.dll
- <SYSTEM32>\mailbody.txt
- <SYSTEM32>\mail3.vbe
- <SYSTEM32>\Result1.vbe
- %TEMP%\IXP000.TMP\boot.exe
- <SYSTEM32>\serverl.exe
- <SYSTEM32>\system2.bat
Удаляет следующие файлы:
- %TEMP%\IXP000.TMP\boot.exe
Сетевая активность:
Подключается к:
- 'sm##.tom.com':25
UDP:
- DNS ASK sm##.tom.com
- DNS ASK www.qq.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
