Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'apiMgIME' = 'rundll32 "%APPDATA%\Microsoft\Acle3d10\d3dx0_33.dll",DllRegisterServer'
Вредоносные функции
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\rundll32.exe
следующие пользовательские процессы:
- iexplore.exe
Перехватывает функции
в браузерах
- Процесс iexplore.exe, модуль advapi32.dll
- Процесс firefox.exe, модуль nss3.dll
- Процесс iexplore.exe, модуль wininet.dll
- Процесс firefox.exe, модуль advapi32.dll
- Процесс iexplore.exe, модуль urlmon.dll
- Процесс firefox.exe, модуль wininet.dll
- Процесс firefox.exe, модуль urlmon.dll
Изменения в файловой системе
Создает следующие файлы
- mailslot\sl844
- %APPDATA%\microsoft\acle3d10\d3dx0_33.dll
- %TEMP%\8224.bi1
- %TEMP%\898c.bi1
Удаляет следующие файлы
- %TEMP%\8224.bi1
- %TEMP%\898c.bi1
Самоудаляется.
Сетевая активность
TCP
Запросы HTTP GET
- http://google.com/
- http://www.google.com/
UDP
- DNS ASK google.com
- DNS ASK re#####r1.opendns.com
- DNS ASK 22#.###.67.208.in-addr.arpa
- DNS ASK my##.#pendns.com
- DNS ASK ma###irainy.at
Другое
Ищет следующие окна
- ClassName: 'ProgMan' WindowName: ''
Создает и запускает на исполнение
- '<SYSTEM32>\rundll32.exe' Shell32.dll,Control_RunDLL /?' (со скрытым окном)
Запускает на исполнение
- '<SYSTEM32>\control.exe' /?
- '<SYSTEM32>\rundll32.exe' Shell32.dll,Control_RunDLL /?
- '<SYSTEM32>\cmd.exe' /C "nslookup myip.opendns.com resolver1.opendns.com > %TEMP%\8224.bi1"
- '<SYSTEM32>\cmd.exe' /C "nslookup myip.opendns.com resolver1.opendns.com > %TEMP%\898C.bi1"
- '<SYSTEM32>\nslookup.exe' myip.opendns.com resolver1.opendns.com
- '<SYSTEM32>\cmd.exe' /C "echo -------- >> %TEMP%\8224.bi1"
- '<SYSTEM32>\cmd.exe' /C "echo -------- >> %TEMP%\898C.bi1"
