Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ewrgetuj' = '%TEMP%\geurge.exe'
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\tdl] 'Name' = '%TEMP%\5.tmp'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'lsdefrag' = '%TEMP%\dp.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\yxtyx.exe
- %TEMP%\bdnnq.exe
- %TEMP%\pswfgxw.exe
- %TEMP%\hjxoqvo.exe
- %TEMP%\kxqvxljp.exe
- %TEMP%\piwydxtu.exe
- %TEMP%\urfmk.exe
- %TEMP%\gknqoxn.exe
- %TEMP%\gqtfimml.exe
- %TEMP%\-1998166001
- %TEMP%\E4U.exe
- %TEMP%\Gi.exe
- %TEMP%\ctfmon.exe
- %TEMP%\dp.exe
- %TEMP%\7za.exe x %TEMP%\a1.7z -aoa -o%HOMEPATH%\Local Settings\Temp -plolmilf
- %TEMP%\oeddwuso.exe
- %TEMP%\jncdrra.exe
- %TEMP%\EuroP.exe
- %TEMP%\ic1.exe
- %TEMP%\geurge.exe
- %TEMP%\bdnnq.exe (загружен из сети Интернет)
- %TEMP%\yxtyx.exe (загружен из сети Интернет)
- %TEMP%\urfmk.exe (загружен из сети Интернет)
- %TEMP%\hjxoqvo.exe (загружен из сети Интернет)
- %TEMP%\kxqvxljp.exe (загружен из сети Интернет)
- %TEMP%\pswfgxw.exe (загружен из сети Интернет)
- %TEMP%\oeddwuso.exe (загружен из сети Интернет)
- %TEMP%\jncdrra.exe (загружен из сети Интернет)
- %TEMP%\gknqoxn.exe (загружен из сети Интернет)
- %TEMP%\piwydxtu.exe (загружен из сети Интернет)
- %TEMP%\gqtfimml.exe (загружен из сети Интернет)
- %TEMP%\-1998166001 (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""C:\tujserrew.bat""
- <SYSTEM32>\net1.exe stop "Security Center"
- <SYSTEM32>\net1.exe stop "Windows Firewall/Internet Connection Sharing (ICS)
- <SYSTEM32>\sc.exe config SharedAccess start= DISABLED
- <SYSTEM32>\net.exe stop "Security Center"
- <SYSTEM32>\sc.exe config wscsvc start= DISABLED
- <SYSTEM32>\net.exe stop "Windows Firewall/Internet Connection Sharing (ICS)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1400' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] 'currentlevel' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\-1998166001
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\tkfzhs[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\kofmhoahpk[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\jjelg[1].php
- %TEMP%\gknqoxn.exe
- %TEMP%\pswfgxw.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\jaucnvc[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\kbidlfdytr[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\files[1].php
- %TEMP%\gqtfimml.exe
- %TEMP%\piwydxtu.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\imhbjepxrz[1].php
- %TEMP%\bdnnq.exe
- %TEMP%\yxtyx.exe
- C:\tujserrew.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\mqupaic[1].php
- %TEMP%\hjxoqvo.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ycweckemxs[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\cgxvqksq[1].php
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\sjnvpnidk[1].php
- %TEMP%\urfmk.exe
- %TEMP%\E4U.exe
- %TEMP%\dp.exe
- %TEMP%\EuroP.exe
- %TEMP%\ic1.exe
- %TEMP%\Gi.exe
- %TEMP%\7za.exe
- %TEMP%\nsn2.tmp
- %TEMP%\a1.7z
- %TEMP%\nsw3.tmp\ExecDos.dll
- %TEMP%\ctfmon.exe
- %TEMP%\ls46.id
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\cgaickiqk[1].php
- %TEMP%\jncdrra.exe
- %TEMP%\oeddwuso.exe
- %TEMP%\kxqvxljp.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\aaidkfmhfa[1].php
- %TEMP%\4.tmp
- %WINDIR%\Temp\6.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\bsvqbwql[1].php
- %TEMP%\geurge.exe
Удаляет следующие файлы:
- %TEMP%\~DF8D52.tmp
- %TEMP%\E4U.exe
- %WINDIR%\Temp\6.tmp
- %TEMP%\nsw3.tmp\ExecDos.dll
- %TEMP%\5.tmp
Перемещает следующие файлы:
- %TEMP%\ic1.exe в %TEMP%\7.tmp
- %TEMP%\4.tmp в %TEMP%\5.tmp
Сетевая активность:
Подключается к:
- 'qu###ttice.com':80
- 'da###tub.com':80
- 'ab####gnostic.com':80
TCP:
Запросы HTTP GET:
- ab####gnostic.com/djmdyf/ycweckemxs.php?ad########
- ab####gnostic.com/djmdyf/jjelg.php?ad########
- ab####gnostic.com/djmdyf/kofmhoahpk.php?ad########
- ab####gnostic.com/djmdyf/cgxvqksq.php?ad########
- ab####gnostic.com/djmdyf/mqupaic.php?ad#################################################
- ab####gnostic.com/djmdyf/imhbjepxrz.php?ad########
- ab####gnostic.com/djmdyf/sjnvpnidk.php?ad########
- ab####gnostic.com/djmdyf/tkfzhs.php?ad########
- ab####gnostic.com/djmdyf/aaidkfmhfa.php?ad########
- ab####gnostic.com/djmdyf/cgaickiqk.php?ad########
- ab####gnostic.com/djmdyf/bsvqbwql.php?ad########
- da###tub.com/services/install.php?ui#############################
- da###tub.com/services/files.php?ui#############################################################
- ab####gnostic.com/djmdyf/kbidlfdytr.php?ad########
- ab####gnostic.com/djmdyf/jaucnvc.php?ad########
UDP:
- DNS ASK da###tub.com
- DNS ASK qu###ttice.com
- DNS ASK ab####gnostic.com
- DNS ASK ms#.com
- DNS ASK google.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'CSCHiddenWindow' WindowName: ''
