Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Telnet Services v3.4.ef] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] 'unwise_me.exe' = 'unwise_me.exe:*:Enabled:SYSTEM'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%WINDIR%\Fonts\unwise_me.exe' = '%WINDIR%\Fonts\unwise_me.exe:*:Enabled:workstation'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] 'unwise_me.exe' = 'unwise_me.exe:*:Enabled:SYSTEM'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- %WINDIR%\Fonts\unwise_me.exe
Запускает на исполнение:
- <SYSTEM32>\netsh.exe firewall set portopening TCP 9991 PORT2
- <SYSTEM32>\netsh.exe firewall add allowedprogram "%WINDIR%\Fonts\unwise_me.exe" workstation ENABLE ALL
- <SYSTEM32>\netsh.exe firewall set allowedprogram "%WINDIR%\Fonts\unwise_me.exe" workstation ENABLE ALL
- <SYSTEM32>\netsh.exe firewall set portopening TCP 9999 PORT1
- <SYSTEM32>\netsh.exe firewall set portopening TCP 445 NB
- <SYSTEM32>\netsh.exe firewall set portopening TCP 139 NB
- <SYSTEM32>\netsh.exe firewall set portopening TCP 1013 BS
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Fonts\unwise_me.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Fonts\unwise_me.exe
Удаляет следующие файлы:
- <SYSTEM32>\config\SysEvent.Evt
- <SYSTEM32>\config\SecEvent.Evt
- <SYSTEM32>\config\AppEvent.Evt
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ir#.#fnet.fr':6667
- 'ir#.#fnet.nl':6667
- 'ir#.##raphysics.net':6667
- 'ir#.#fnet.no':6667
- 'ir#.##ersible.com':6667
- 'ef###.#ultiplay.co.uk':6667
- 'ef###.port80.se':6667
- 'ir#.#zima.net':6667
- 'ir#.nac.net':6667
- 'ef###.xs4all.nl':6667
- 'ir#.##derworld.no':6667
- 'ir#.##outcast.com':6667
- 'ir#.#hoopa.ca':6667
- 'ir#.#fnet.pl':6667
UDP:
- DNS ASK ir#.#fnet.fr
- DNS ASK ir#.#fnet.nl
- DNS ASK ir#.##raphysics.net
- DNS ASK ir#.#fnet.no
- DNS ASK ir#.##ersible.com
- DNS ASK ef###.#ultiplay.co.uk
- DNS ASK ef###.port80.se
- DNS ASK ir#.#zima.net
- DNS ASK ir#.nac.net
- DNS ASK ef###.xs4all.nl
- DNS ASK ir#.##derworld.no
- DNS ASK ir#.##outcast.com
- DNS ASK ir#.#hoopa.ca
- DNS ASK ir#.#fnet.pl
Другое:
Ищет следующие окна:
- ClassName: 'mIRC' WindowName: ''
