Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Google Updater 2.0' = '%ALLUSERSPROFILE%\Google Updater 2.0\u1oo3gai.exe'
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Google Updater 2.0' = '"%ALLUSERSPROFILE%\Google Updater 2.0\u1oo3gai.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'usohd.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'Google Updater 2.0' = '"%ALLUSERSPROFILE%\Google Updater 2.0\u1oo3gai.exe"'
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\SSDPSRV] 'Start' = '00000002'
Вредоносные функции
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра
- [<HKLM>\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение
- '' (загружен из сети Интернет)
Создает и запускает на исполнение (эксплоит)
- '%APPDATA%\vbc.exe'
Внедряет код в
следующие системные процессы:
- %WINDIR%\syswow64\explorer.exe
- <SYSTEM32>\dwm.exe
- %WINDIR%\explorer.exe
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- winword.exe
Перехватывает функции
в браузерах
- Процесс firefox.exe, модуль dnsapi.dll
- Процесс iexplore.exe, модуль dnsapi.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль nss3.dll
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\syswow64\cmd.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: '', WindowName: 'Registry Monitor - Sysinternals: www.sysinternals.com'
- ClassName: 'OLLYDBG', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
- ClassName: 'TIdaWindow', WindowName: ''
Изменяет следующие настройки браузера Windows Internet Explorer
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2500' = '00000003'
Изменения в файловой системе
Создает следующие файлы
- %APPDATA%\vbc.exe
- %TEMP%\nswbebd.tmp
- %TEMP%\whatnot\failure\cgi-bin\sbsdiasymreader.dll
- %TEMP%\whatnot\failure\cgi-bin\hxvzui.dll
- %TEMP%\whatnot\failure\cgi-bin\org.gnome.software.plugin.odrs.metainfo.xml
- %TEMP%\whatnot\failure\cgi-bin\blank-hddvd.xml
- %TEMP%\whatnot\failure\cgi-bin\33.opends60.dll
- %TEMP%\whatnot\failure\cgi-bin\edbgps.dll
- %TEMP%\whatnot\failure\cgi-bin\79.opends60.dll
- %TEMP%\whatnot\failure\cgi-bin\69.opends60.dll
- %TEMP%\whatnot\failure\cgi-bin\aspnetregsql.exe
- %TEMP%\whatnot\failure\cgi-bin\hyphen-de.md5sums
- %TEMP%\capercaillie
- %TEMP%\partishikari.dll
Перемещает следующие системные файлы
- %WINDIR%\syswow64\cmd.exe в %ALLUSERSPROFILE%\google updater 2.0\u1oo3gai.exe
Сетевая активность
Подключается к
- 'ea##exs.com':80
TCP
Запросы HTTP GET
- http://ea##exs.com/~zadmin/div/zy.exe
Запросы HTTP POST
- http://ea##exs.com/~zadmin/lk/yz/logout.php?id########
UDP
- DNS ASK ea##exs.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'GMER'
- ClassName: '' WindowName: 'Monitoring - API Monitor v2 32-bit'
Запускает на исполнение
- '%CommonProgramFiles%\microsoft shared\equation\eqnedt32.exe' -Embedding
- '%WINDIR%\syswow64\rundll32.exe' PartiShikari,Hurley
- '%WINDIR%\syswow64\cmd.exe'
- '%WINDIR%\syswow64\explorer.exe'
