Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\LogicalDisk] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Microsoftbill] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\spool\sql.exe stop Microsoftbill
- <SYSTEM32>\wins\sql.exe stop LogicalDisk
- <SYSTEM32>\wins\sql.exe create LogicalDisk binpath= "<SYSTEM32>\wins\svchost.exe -service" start= auto Displayname= "Remote Access Auto Connection Managers"
- <SYSTEM32>\spool\sql.exe create Microsoftbill binpath= "<SYSTEM32>\spool\svchost.exe -service" start= auto Displayname= "Windows Managements Instrumentation Driver"
- <Текущая директория>\sql.exe start LogicalDisk
- <Текущая директория>\sql.exe start Microsoftbill
- <SYSTEM32>\wins\whw.exe stop RasAuto
- <SYSTEM32>\spool\whw.exe stop Microsoftbill
- <SYSTEM32>\spool\sql.exe config "Microsoftbill" DisplayName= "Windows Managements Instrumentation Driver"
- <SYSTEM32>\wins\sql.exe start LogicalDisk
- <SYSTEM32>\spool\svchost.exe -service
- <SYSTEM32>\wins\whw.exe start LogicalDisk
- <SYSTEM32>\wins\svchost.exe -service
- <SYSTEM32>\spool\sql.exe description Microsoftbill "Component Object Model (COM +) components of the configuration and tracking. If you stop the service, most COM +-based components will not work correctly. If you disable the service, any explicit dependence on its service will not start."
- <SYSTEM32>\wins\sql.exe config "LogicalDisk" DisplayName= "Remote Access Auto Connection Managers"
- <SYSTEM32>\spool\sql.exe start Microsoftbill
- <SYSTEM32>\wins\sql.exe description LogicalDisk "No matter what, when a program or a reference to a remote DNS NetBIOS name or address will create a long-range network connections to."
- <Текущая директория>\sql.exe delete CCproxy
- <Текущая директория>\sql.exe stop CCproxy
- <Текущая директория>\sql.exe delete vsmon
- <Текущая директория>\sql.exe stop vsmon
- <Текущая директория>\sql.exe delete RasAuto
- <Текущая директория>\sql.exe stop RasAuto
- <Текущая директория>\sql.exe stop Microsoftbill
- <Текущая директория>\sql.exe stop LogicalDisk
- <Текущая директория>\sql.exe stop RunAServces
- <SYSTEM32>\spool\basic.exe
- <SYSTEM32>\wins\delphi.exe
- <SYSTEM32>\wins\udp.exe
- <SYSTEM32>\spool\info.exe
- <Текущая директория>\sql.exe stop Bethserv
- <Текущая директория>\sql.exe stop wmisrvs
- <Текущая директория>\sql.exe stop svchost
- <Текущая директория>\sql.exe stop taskmgr
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +s +h CDial.dll
- <SYSTEM32>\attrib.exe +s +h web
- <SYSTEM32>\attrib.exe +s +h Language
- <SYSTEM32>\attrib.exe +s +h svchost.exe
- <SYSTEM32>\attrib.exe +s +h uuid.dll
- <SYSTEM32>\attrib.exe +s +h +r web
- <SYSTEM32>\net1.exe start LogicalDisk
- <SYSTEM32>\attrib.exe +s +h iniuser1.exe
- <SYSTEM32>\attrib.exe +s +h +r Language
- <SYSTEM32>\attrib.exe +s +h AccInfo.ini
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\wins\delmy.bat""
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\spool\delmy.bat""
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\wins\install.bat
- <SYSTEM32>\cmd.exe /c <Текущая директория>\cache.bat
- <SYSTEM32>\cmd.exe /c <SYSTEM32>\spool\install.bat
- <SYSTEM32>\ping.exe 127.0.0.1 -n 1 -w 500
- <SYSTEM32>\attrib.exe +s +h CCProxy.ini
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\delme.bat""
- <SYSTEM32>\net1.exe stop Microsoftbill
- <SYSTEM32>\net1.exe stop RasAuto
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\spool\CCProxy.ini
- <SYSTEM32>\spool\AccInfo.ini
- <SYSTEM32>\wins\CDial.dll
- <SYSTEM32>\spool\sql.exe
- <SYSTEM32>\spool\CDial.dll
- <SYSTEM32>\wins\sql.exe
- <SYSTEM32>\spool\web\settings.htm
- <SYSTEM32>\spool\web\list.htm
- <SYSTEM32>\wins\web\settings.htm
- <SYSTEM32>\spool\web\index.html
- <SYSTEM32>\wins\CCProxy.ini
- <SYSTEM32>\spool\web\log.htm
- <SYSTEM32>\wins\AccInfo.ini
- <SYSTEM32>\spool\install.bat
- <SYSTEM32>\wins\install.bat
- <SYSTEM32>\spool\info.exe
- <Текущая директория>\delme.bat
- <SYSTEM32>\wins\delmy.bat
- <SYSTEM32>\spool\delmy.bat
- <SYSTEM32>\wins\udp.exe
- <SYSTEM32>\wins\uuid.dll
- <SYSTEM32>\spool\svchost.exe
- <SYSTEM32>\wins\svchost.exe
- <SYSTEM32>\spool\uuid.dll
- <SYSTEM32>\wins\whw.exe
- <SYSTEM32>\spool\whw.exe
- <SYSTEM32>\spool\web\account.htm
- <SYSTEM32>\wins\Language\English.ini
- <SYSTEM32>\wins\Language\English.chm
- <SYSTEM32>\wins\Language\ChineseGB.ini
- <SYSTEM32>\dllcache\delphi.exe
- <SYSTEM32>\wins\web\accheader.htm
- <SYSTEM32>\wins\web\accadd.htm
- <SYSTEM32>\wins\Language\ChineseGB.chm
- <SYSTEM32>\spool\basic.exe
- <Текущая директория>\sql.exe
- <Текущая директория>\cache.bat
- <Текущая директория>\windows7.txt
- <SYSTEM32>\wins\delphi.exe
- <SYSTEM32>\spool\web\accheader.htm
- <SYSTEM32>\spool\web\accadd.htm
- <SYSTEM32>\wins\web\index.html
- <SYSTEM32>\wins\web\log.htm
- <SYSTEM32>\spool\web\acclist.htm
- <SYSTEM32>\wins\web\list.htm
- <SYSTEM32>\spool\Language\English.ini
- <SYSTEM32>\spool\Language\ChineseGB.ini
- <SYSTEM32>\wins\web\acclist.htm
- <SYSTEM32>\spool\Language\ChineseGB.chm
- <SYSTEM32>\dllcache\basic.exe
- <SYSTEM32>\spool\Language\English.chm
- <SYSTEM32>\wins\web\account.htm
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\wins\AccInfo.ini
- <SYSTEM32>\spool\CDial.dll
- <SYSTEM32>\spool\AccInfo.ini
- <SYSTEM32>\spool\CCProxy.ini
- <SYSTEM32>\wins\CDial.dll
- <SYSTEM32>\wins\svchost.exe
- <SYSTEM32>\wins\CCProxy.ini
- <SYSTEM32>\spool\svchost.exe
- <SYSTEM32>\spool\uuid.dll
- <SYSTEM32>\wins\uuid.dll
Удаляет следующие файлы:
- <SYSTEM32>\spool\sql.exe
- %TEMP%\~DFF344.tmp
- <SYSTEM32>\wins\sql.exe
- <SYSTEM32>\spool\whw.exe
- <SYSTEM32>\wins\delphi.exe
- <SYSTEM32>\spool\basic.exe
- <SYSTEM32>\wins\udp.exe
- <SYSTEM32>\spool\info.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '21#.#12.12.137':82
- '67.##5.160.76':80
- 'localhost':1035
- '21#.#80.112.195':82
UDP:
- DNS ASK www.ya##o.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'C--WINDOWS-system32-spool-svchost.HLP' WindowName: ''
- ClassName: 'C--WINDOWS-system32-wins-svchost.HLP' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
