Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Lsa] 'Notification Packages' = ''
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Monitors\SCSI Port Monitor] 'Driver' = 'scsimon.dll'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WmLogon] 'Startup' = 'Startup'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WmLogon] 'DllName' = 'WmLogon.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Spooler] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%WINDIR%\temp\206640.dll" DllService
- <SYSTEM32>\svchost.exe -k ProcInHost:spoolsv:Memory
- <SYSTEM32>\spoolsv.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\WmLogon.dll
- <SYSTEM32>\wbem\WmLogon.dll
- <SYSTEM32>\lsascur.dll
- <SYSTEM32>\scsimon.dll
- <SYSTEM32>\wbem\scsimon.dll
- C:\wmpub\wmiislog\AcSvcst.dll
- %WINDIR%\Temp\206640.dll
- <SYSTEM32>\Com\pdrv.dll
- <SYSTEM32>\Com\comb.dll
- C:\wmpub\wmiislog\AvcAlvr.dll
- <SYSTEM32>\scanreg.exe
Удаляет следующие файлы:
- <SYSTEM32>\wbem\scsimon.dll
Сетевая активность:
Подключается к:
- 'rs#.##one.qq.com':80
TCP:
Запросы HTTP GET:
- rs#.##one.qq.com/cgi-bin/feeds/feeds_html_module?i_##########
UDP:
- DNS ASK rs#.##one.qq.com
