Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\svchost] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\US1\sv\svchost.exe
- %WINDIR%\US1\svchost.exe
- %TEMP%\ivtp.exe vtpserverip.no-ip.org off hgui.exe
- %TEMP%\_hgui.exe
- %TEMP%\US.exe vtpserverip.no-ip.org hgui.exe
Запускает на исполнение:
- <SYSTEM32>\ipconfig.exe /flushdns
- <SYSTEM32>\sc.exe start svchost
- <SYSTEM32>\sc.exe create svchost binpath= "%WINDIR%\US1\sv\svchost.exe" type= own start= auto
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ipconfig.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\ivtp.exe
- %WINDIR%\US1\sv\svchost.exe
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\icon.dat
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\licence.rtf
- %WINDIR%\US1\init_info
- %WINDIR%\US1\CW\wget.exe
- %WINDIR%\US1\svchost.exe
- %TEMP%\US.exe
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\Setup.cab
- %TEMP%\hgui.exe
- %TEMP%\_hgui.exe
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\default.ifl
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\Image_Left.jpg
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\SC.dat
- %TEMP%\IF{8BDCEE2E-D234-4FA3-8C97-B0EDDCC49D46}\OS.dat
Сетевая активность:
Подключается к:
- 'us###.ugent.be':80
- 'wp#d':80
- 'vt#####erip.no-ip.org':10000
TCP:
Запросы HTTP GET:
- us###.ugent.be/~bpuype/cgi-bin/fetch.pl?dl##############
- wp#d/wpad.dat
UDP:
- DNS ASK us###.ugent.be
- DNS ASK wp#d
- DNS ASK vt#####erip.no-ip.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
