Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\LoadGroup] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\EITHEWUGVLXNI.EXE
- <SYSTEM32>\EITHEWUGVLXNI.EXE /install /silent
Запускает на исполнение:
- <SYSTEM32>\net1.exe start LoadGroup
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\VLHJYPXFJOYZ.DLL"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\TXQHGSRH.DLL
- <SYSTEM32>\IMQSU.DLL
- <SYSTEM32>\EITHEWUGVLXNI.EXE
- <SYSTEM32>\YHJUWSERWNXG.AET
- <SYSTEM32>\ZMMFNDEAZAXYDEX.OKC
- <DRIVERS>\IBCOWTLBXMMBW.DAT
- <SYSTEM32>\8u1mk8w7.dll
- <SYSTEM32>\EMZSJDPRNBGA.INI
- <SYSTEM32>\wbem\CIHVIUZZQXZN.DLL
- <SYSTEM32>\VLHJYPXFJOYZ.DLL
Перемещает следующие файлы:
- <SYSTEM32>\TXQHGSRH.exe в <SYSTEM32>\TXQHGSRH.DLL
- <SYSTEM32>\TXQHGSRH.DLL в <SYSTEM32>\TXQHGSRH.exe
Сетевая активность:
Подключается к:
- 'ad.##kead.com':80
- 'www.mo##ad.com':80
- 'fz##.com':80
TCP:
Запросы HTTP GET:
- ad.##kead.com/starts.asp?id######################
- www.mo##ad.com/config/Info.txt
- fz##.com/
UDP:
- DNS ASK ad.##kead.com
- DNS ASK www.mo##ad.com
- DNS ASK fz##.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
