Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WaitHint] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\SEHQC.EXE /install /silent
Запускает на исполнение:
- <SYSTEM32>\net1.exe start WaitHint
- <SYSTEM32>\regsvr32.exe /s "<SYSTEM32>\DWZTRQLCEWOFBW.DLL"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\DASYBLHZ.DLL
- <DRIVERS>\PMDDLZFP.DAT
- <SYSTEM32>\SEHQC.EXE
- <SYSTEM32>\GCOGPMTHOZJGLEB.DLL
- <SYSTEM32>\EPWBPL.INI
- <SYSTEM32>\8u1mk8w7.dll
- <SYSTEM32>\wbem\KQFUHD.DLL
- <SYSTEM32>\DWZTRQLCEWOFBW.DLL
Сетевая активность:
Подключается к:
- 'ad.##kead.com':80
- 'www.pc###o.com.cn':80
TCP:
Запросы HTTP GET:
- ad.##kead.com/start.asp?id##
- www.pc###o.com.cn/
UDP:
- DNS ASK ad.##kead.com
- DNS ASK www.pc###o.com.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
