Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sc.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmaRTP.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Classes\lvs.vbs\shell\open\command] '' = '<SYSTEM32>\NTDriver\winlogon.exe %1'
- [<HKLM>\SOFTWARE\Classes\lvs.js\shell\open\command] '' = '<SYSTEM32>\NTDriver\winlogon.exe %1'
- [<HKLM>\SOFTWARE\Classes\lvs.3gp\shell\open\command] '' = '<SYSTEM32>\NTDriver\winlogon.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sfc.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Classes\lvs.reg\shell\open\command] '' = '<SYSTEM32>\NTDriver\winlogon.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avguard.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sched.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '<SYSTEM32>\NTDriver\winlogon.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\REGEDIT.EXE] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansavd.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\update.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avscan.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe] 'Debugger' = 'ntsd -d'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconfig.exe] 'Debugger' = 'ntsd -d'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- <SYSTEM32>\doscmd.exe http://www.te###krat.ac.id/index.php
Запускает на исполнение:
- <SYSTEM32>\cacls.exe "<SYSTEM32>\NTDriver" /e /c /p "%USERNAME%":n
- <SYSTEM32>\cacls.exe "<SYSTEM32>\NTDriver" /e /c /p "%USERNAME%":f
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\excon.exe
- <SYSTEM32>\NTDriver\darkyear.bmp
- <SYSTEM32>\doscmd.exe
- <SYSTEM32>\L0V351CK.RTM
- <SYSTEM32>\NTDriver\winlogon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\excon.exe
- <SYSTEM32>\NTDriver\winlogon.exe
Удаляет следующие файлы:
- %TEMP%\~DFFD39.tmp
- <SYSTEM32>\msvbvm60.dll
Сетевая активность:
Подключается к:
- 'www.te###krat.ac.id':80
TCP:
Запросы HTTP GET:
- www.te###krat.ac.id/index.php
UDP:
- DNS ASK www.google.com
- DNS ASK www.te###krat.ac.id
