Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SubLineIDE] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block9 -r Block9 -f 221.194.142.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block0 -r Block0 -f 118.145.31.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block7 -r Block7 -f 125.39.102.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block8 -r Block8 -f 220.181.126.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\feixin.exe md5 -s subidecom.dll -d subidecom.dll
- %PROGRAM_FILES%\FunshionMedia\feixin.exe dns 125.43.78.126,60.12.232.235
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Pass1 -r Pass1 -f 125.39.100.74+0 -n PASS -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Pass2 -r Pass2 -f 220.181.126.15+0 -n PASS -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block1 -r BlockTCP -f 119.147.91.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block2 -r BlockNEW -f 119.188.4.*+0 -n BLOCK -x
- %TEMP%\is-7LF3D.tmp\<Имя вируса>.tmp /SL5="$40036,528445,54272,<Полный путь к вирусу>"
- %PROGRAM_FILES%\FunshionMedia\feixin.exe md5 -s ipseccmd.exe -d ipseccmd.exe
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block5 -r Block5 -f 124.238.244.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block6 -r Block6 -f 125.39.100.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block3 -r BlockTWO -f 122.70.130.*+0 -n BLOCK -x
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe -p Block4 -r BlockTHREE -f 124.238.243.*+0 -n BLOCK -x
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k mysysgroup3
- <SYSTEM32>\rundll32.exe <SYSTEM32>\subidecom.dll RundllInstall SubLineIDE
- <SYSTEM32>\sc.exe start PolicyAgent
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\FunshionMedia\subidecom.dll
- <SYSTEM32>\zlib1.dll
- <SYSTEM32>\sublung\MyIEData\main.ini
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe
- <SYSTEM32>\subidecom.dll
- C:\help.html
- %APPDATA%\NetHome\main.ini
- <SYSTEM32>\sublung\MyIEData\SysDat.bin
- <SYSTEM32>\sublung\MyIEData\myad.dat
- %TEMP%\is-7VGJK.tmp\_isetup\_shfoldr.dll
- %PROGRAM_FILES%\FunshionMedia\is-FPOSH.tmp
- %TEMP%\is-7LF3D.tmp\<Имя вируса>.tmp
- %TEMP%\is-7VGJK.tmp\_isetup\_RegDLL.tmp
- %PROGRAM_FILES%\FunshionMedia\is-VODRC.tmp
- %PROGRAM_FILES%\FunshionMedia\is-V2UDN.tmp
- %PROGRAM_FILES%\FunshionMedia\is-1QQC9.tmp
- %PROGRAM_FILES%\FunshionMedia\is-TKOGP.tmp
- %PROGRAM_FILES%\FunshionMedia\is-AKV42.tmp
Удаляет следующие файлы:
- %TEMP%\is-7VGJK.tmp\_isetup\_RegDLL.tmp
- %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe
- %TEMP%\is-7LF3D.tmp\<Имя вируса>.tmp
- %TEMP%\is-7VGJK.tmp\_isetup\_shfoldr.dll
- %PROGRAM_FILES%\FunshionMedia\SysDat.bin
- %PROGRAM_FILES%\FunshionMedia\feixin.exe
- %PROGRAM_FILES%\FunshionMedia\zlib1.dll
- %PROGRAM_FILES%\FunshionMedia\myad.dat
- %PROGRAM_FILES%\FunshionMedia\subidecom.dll
Перемещает следующие файлы:
- %PROGRAM_FILES%\FunshionMedia\is-AKV42.tmp в %PROGRAM_FILES%\FunshionMedia\feixin.exe
- %PROGRAM_FILES%\FunshionMedia\is-V2UDN.tmp в %PROGRAM_FILES%\FunshionMedia\myad.dat
- %PROGRAM_FILES%\FunshionMedia\is-1QQC9.tmp в %PROGRAM_FILES%\FunshionMedia\SysDat.bin
- %PROGRAM_FILES%\FunshionMedia\is-FPOSH.tmp в %PROGRAM_FILES%\FunshionMedia\ipseccmd.exe
- %PROGRAM_FILES%\FunshionMedia\is-VODRC.tmp в %PROGRAM_FILES%\FunshionMedia\subidecom.dll
- %PROGRAM_FILES%\FunshionMedia\is-TKOGP.tmp в %PROGRAM_FILES%\FunshionMedia\zlib1.dll
Сетевая активность:
Подключается к:
- 'so.#21.org':88
UDP:
- DNS ASK so.#21.org
- DNS ASK sd#.#60safe.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
