Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinXPService' = '%APPDATA%\mirc\DriverUpdate.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- %APPDATA%\mIRC\mirc.exe
- %APPDATA%\mIRC\DriverUpdate.exe
Запускает на исполнение:
- %WINDIR%\regedit.exe /s l82.Reg
- %WINDIR%\regedit.exe /s b24.Reg
- %WINDIR%\regedit.exe /s t87.Reg
- %WINDIR%\regedit.exe /s k12.Reg
- %WINDIR%\regedit.exe /s l13.Reg
- %WINDIR%\regedit.exe /s x57.Reg
- %WINDIR%\regedit.exe /s i17.Reg
- %WINDIR%\regedit.exe /s j85.Reg
- %WINDIR%\regedit.exe /s h81.Reg
- %WINDIR%\regedit.exe /s w97.Reg
- %WINDIR%\regedit.exe /s f48.Reg
- %WINDIR%\regedit.exe /s i37.Reg
- %WINDIR%\regedit.exe /s j22.Reg
- %WINDIR%\regedit.exe /s m4.Reg
- %WINDIR%\regedit.exe /s t5.Reg
- %WINDIR%\regedit.exe /s w8.Reg
- <SYSTEM32>\attrib.exe +S +H mirc\mirc.exe
- <SYSTEM32>\reg.exe ADD HKEY_CURRENT_USER\Software\mIRC\UserName /v "" /t REG_SZ /d "cCTeam" /f
- <SYSTEM32>\attrib.exe +S +H mirc\system.mrc
- <SYSTEM32>\attrib.exe +S +H mirc\RegKeys.bat
- <SYSTEM32>\cmd.exe /c ""%APPDATA%\mirc\RegKeys.bat" "
- <SYSTEM32>\netsh.exe firewall set opmode disable
- <SYSTEM32>\attrib.exe +S +H mirc
- <SYSTEM32>\reg.exe ADD HKEY_CURRENT_USER\Software\mIRC\License /v "" /t REG_SZ /d "3546-331847" /f
- %WINDIR%\regedit.exe /s l3.Reg
- %WINDIR%\regedit.exe /s v17.Reg
- %WINDIR%\regedit.exe /s a67.Reg
- %WINDIR%\regedit.exe /s i15.Reg
- <SYSTEM32>\attrib.exe +S +H mirc\DriverUpdate.exe
- <SYSTEM32>\attrib.exe +S +H mirc\mirc.ini
- %WINDIR%\regedit.exe /s k25.Reg
- <SYSTEM32>\taskkill.exe /F /IM VCSPAWN.EXE /T
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\mIRC\k12.Reg
- %APPDATA%\mIRC\mirc17.tm_
- %APPDATA%\mIRC\t87.Reg
- %APPDATA%\mIRC\l82.Reg
- %APPDATA%\mIRC\j85.Reg
- %APPDATA%\mIRC\i17.Reg
- %APPDATA%\mIRC\b24.Reg
- %APPDATA%\mIRC\m4.Reg
- %APPDATA%\mIRC\h81.Reg
- %APPDATA%\mIRC\i37.Reg
- %APPDATA%\mIRC\f48.Reg
- %APPDATA%\mIRC\w97.Reg
- %APPDATA%\mIRC\j22.Reg
- %APPDATA%\mIRC\w8.Reg
- %APPDATA%\mIRC\t5.Reg
- %APPDATA%\mIRC\system.mrc
- %APPDATA%\mIRC\logs\status.log
- %APPDATA%\mIRC\k25.Reg
- %APPDATA%\mIRC\DriverUpdate.exe
- %APPDATA%\mIRC\mirc.ini
- %APPDATA%\mIRC\RegKeys.bat
- %APPDATA%\mIRC\mirc.exe
- %APPDATA%\mIRC\mirc1.tm_
- %APPDATA%\mIRC\a67.Reg
- %APPDATA%\mIRC\x57.Reg
- %APPDATA%\mIRC\l13.Reg
- %APPDATA%\mIRC\i15.Reg
- %APPDATA%\mIRC\mirc3.tm_
- %APPDATA%\mIRC\v17.Reg
- %APPDATA%\mIRC\l3.Reg
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\mIRC\mirc.ini
- %APPDATA%\mIRC\DriverUpdate.exe
- %APPDATA%\mIRC\system.mrc
- %APPDATA%\mIRC\mirc.exe
- %APPDATA%\mIRC\RegKeys.bat
Удаляет следующие файлы:
- %APPDATA%\mIRC\mirc19.tm_
- %APPDATA%\mIRC\mirc20.tm_
- %APPDATA%\mIRC\mirc21.tm_
- %APPDATA%\mIRC\mirc16.tm_
- <Имя диска съемного носителя>:\mirc18.tm_
- %APPDATA%\mIRC\mirc17.tm_
- %APPDATA%\mIRC\mirc25.tm_
- %APPDATA%\mIRC\mirc26.tm_
- %APPDATA%\mIRC\mirc27.tm_
- %APPDATA%\mIRC\mirc22.tm_
- %APPDATA%\mIRC\mirc23.tm_
- %APPDATA%\mIRC\mirc24.tm_
- %APPDATA%\mIRC\mirc7.tm_
- %APPDATA%\mIRC\mirc8.tm_
- %APPDATA%\mIRC\mirc9.tm_
- %APPDATA%\mIRC\mirc4.tm_
- %APPDATA%\mIRC\mirc5.tm_
- %APPDATA%\mIRC\mirc6.tm_
- %APPDATA%\mIRC\mirc13.tm_
- %APPDATA%\mIRC\mirc14.tm_
- %APPDATA%\mIRC\mirc15.tm_
- %APPDATA%\mIRC\mirc10.tm_
- %APPDATA%\mIRC\mirc11.tm_
- %APPDATA%\mIRC\mirc12.tm_
Перемещает следующие файлы:
- %APPDATA%\mIRC\t87.Reg в %APPDATA%\mIRC\mirc19.tm_
- %APPDATA%\mIRC\m4.Reg в %APPDATA%\mIRC\mirc20.tm_
- %APPDATA%\mIRC\j22.Reg в %APPDATA%\mIRC\mirc21.tm_
- %APPDATA%\mIRC\b24.Reg в %APPDATA%\mIRC\mirc14.tm_
- %APPDATA%\mIRC\l82.Reg в %APPDATA%\mIRC\mirc15.tm_
- %APPDATA%\mIRC\k12.Reg в %APPDATA%\mIRC\mirc16.tm_
- %APPDATA%\mIRC\h81.Reg в %APPDATA%\mIRC\mirc25.tm_
- %APPDATA%\mIRC\i37.Reg в %APPDATA%\mIRC\mirc26.tm_
- %APPDATA%\mIRC\f48.Reg в %APPDATA%\mIRC\mirc27.tm_
- %APPDATA%\mIRC\w8.Reg в %APPDATA%\mIRC\mirc22.tm_
- %APPDATA%\mIRC\t5.Reg в %APPDATA%\mIRC\mirc23.tm_
- %APPDATA%\mIRC\w97.Reg в %APPDATA%\mIRC\mirc24.tm_
- %APPDATA%\mIRC\mirc3.tm_ в %APPDATA%\mIRC\mirc.ini
- %APPDATA%\mIRC\v17.Reg в %APPDATA%\mIRC\mirc6.tm_
- %APPDATA%\mIRC\l3.Reg в %APPDATA%\mIRC\mirc7.tm_
- %APPDATA%\mIRC\mirc1.tm_ в %APPDATA%\mIRC\vars.ini
- %APPDATA%\mIRC\k25.Reg в %APPDATA%\mIRC\mirc4.tm_
- %APPDATA%\mIRC\mirc.ini в %APPDATA%\mIRC\mirc5.tm_
- %APPDATA%\mIRC\l13.Reg в %APPDATA%\mIRC\mirc11.tm_
- %APPDATA%\mIRC\j85.Reg в %APPDATA%\mIRC\mirc12.tm_
- %APPDATA%\mIRC\i17.Reg в %APPDATA%\mIRC\mirc13.tm_
- %APPDATA%\mIRC\i15.Reg в %APPDATA%\mIRC\mirc8.tm_
- %APPDATA%\mIRC\a67.Reg в %APPDATA%\mIRC\mirc9.tm_
- %APPDATA%\mIRC\x57.Reg в %APPDATA%\mIRC\mirc10.tm_
Сетевая активность:
Подключается к:
- 'fi###all.yi.org':33725
UDP:
- DNS ASK Fi###all.yi.org
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'CicLoaderWndClass' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
