Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\LogicalDisk] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Microsoftbill] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\wins\NTSVC.exe stop LogicalDisk
- <SYSTEM32>\spool\NTSVC.exe create Microsoftbill binpath= "<SYSTEM32>\spool\svchost.exe -service" start= auto Displayname= "Windows Managements Instrumentation Driver"
- <SYSTEM32>\spool\svchost.exe -service
- <SYSTEM32>\wins\NTSVC.exe create LogicalDisk binpath= "<SYSTEM32>\wins\svchost.exe -service" start= auto Displayname= "Remote Access Auto Connection Managers"
- <SYSTEM32>\wins\whw.exe stop LogicalDisk
- <SYSTEM32>\spool\whw.exe stop Microsoftbill
- <SYSTEM32>\wins\whw.exe stop RasAuto
- <SYSTEM32>\spool\NTSVC.exe stop Microsoftbill
- <SYSTEM32>\wins\NTSVC.exe delete RasAuto
- <SYSTEM32>\wins\NTSVC.exe start LogicalDisk
- <SYSTEM32>\spool\whw.exe start Microsoftbill
- <SYSTEM32>\wins\whw.exe start LogicalDisk
- <SYSTEM32>\wins\svchost.exe -service
- <SYSTEM32>\wins\NTSVC.exe description LogicalDisk "No matter what, when a program or a reference to a remote DNS NetBIOS name or address will create a long-range network connections to"
- <SYSTEM32>\spool\NTSVC.exe description Microsoftbill "Component Object Model (COM +) components of the configuration and tracking. If you stop the service, most COM +-based components will not work correctly. If you disable the service, any explicit dependence on its service will not start."
- <SYSTEM32>\spool\NTSVC.exe config "Microsoftbill" DisplayName= "Windows Managements Instrumentation Driver"
- <SYSTEM32>\wins\NTSVC.exe config "LogicalDisk" DisplayName= "Remote Access Auto Connection Managers"
- <SYSTEM32>\spool\NTSVC.exe start Microsoftbill
- <SYSTEM32>\wins\iexp1orer.exe
- <Текущая директория>\IExp1orer.exe stop vsmon
- <Текущая директория>\IExp1orer.exe delete CCproxy
- <Текущая директория>\IExp1orer.exe stop RunAServces
- <Текущая директория>\IExp1orer.exe delete vsmon
- <Текущая директория>\IExp1orer.exe stop CCproxy
- <Текущая директория>\IExp1orer.exe delete RasAuto
- <Текущая директория>\IExp1orer.exe stop RasAuto
- <Текущая директория>\IExp1orer.exe stop Microsoftbill
- <Текущая директория>\IExp1orer.exe stop LogicalDisk
- <Текущая директория>\IExp1orer.exe start Microsoftbill
- <SYSTEM32>\wins\delphi.exe
- <SYSTEM32>\spool\spool.exe
- <Текущая директория>\IExp1orer.exe start LogicalDisk
- <SYSTEM32>\spool\basic.exe
- <Текущая директория>\IExp1orer.exe stop Bethserv
- <Текущая директория>\IExp1orer.exe stop wmisrvs
- <Текущая директория>\IExp1orer.exe stop svchost
- <Текущая директория>\IExp1orer.exe stop taskmgr
Запускает на исполнение:
- <SYSTEM32>\attrib.exe +s +h iniuser1.exe
- <SYSTEM32>\attrib.exe +s +h CDial.dll
- <SYSTEM32>\attrib.exe +s +h +r web
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\Km.bat" "
- <SYSTEM32>\attrib.exe +s +h CCProxy.ini
- <SYSTEM32>\attrib.exe +s +h +r Language
- <SYSTEM32>\attrib.exe +s +h web
- <SYSTEM32>\net1.exe start LogicalDisk
- <SYSTEM32>\net1.exe start Microsoftbill
- <SYSTEM32>\attrib.exe +s +h Language
- <SYSTEM32>\attrib.exe +s +h AccInfo.ini
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\wins\install.bat" "
- <SYSTEM32>\ping.exe 127.0.0.1 -n 1 -w 500
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\spool\Km.bat" "
- <SYSTEM32>\cmd.exe /c <Текущая директория>\cache.bat
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\spool\install.bat" "
- <SYSTEM32>\cmd.exe /c ""<SYSTEM32>\wins\Km.bat" "
- <SYSTEM32>\attrib.exe +s +h svchost.exe
- <SYSTEM32>\attrib.exe +s +h uuid.dll
- <SYSTEM32>\net1.exe stop LogicalDisk
- <SYSTEM32>\net1.exe stop RasAuto
- <SYSTEM32>\net1.exe stop Microsoftbill
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\wins\web\log.htm
- <SYSTEM32>\wins\web\list.htm
- <SYSTEM32>\spool\svchost.exe
- <SYSTEM32>\spool\whw.exe
- <SYSTEM32>\wins\web\settings.htm
- <SYSTEM32>\spool\uuid.dll
- <SYSTEM32>\wins\web\index.html
- <SYSTEM32>\spool\install.bat
- <SYSTEM32>\wins\web\acclist.htm
- <SYSTEM32>\spool\CDial.dll
- <SYSTEM32>\spool\spool.exe
- <SYSTEM32>\wins\web\account.htm
- <SYSTEM32>\spool\NTSVC.exe
- <SYSTEM32>\wins\AccInfo.ini
- <SYSTEM32>\wins\Km.bat
- <SYSTEM32>\spool\Km.bat
- <SYSTEM32>\wins\iexp1orer.exe
- <Текущая директория>\Km.bat
- <SYSTEM32>\dllcache\basic.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\0920[1].asp
- <SYSTEM32>\wins\whw.exe
- <SYSTEM32>\wins\install.bat
- <SYSTEM32>\wins\CDial.dll
- <SYSTEM32>\wins\CCProxy.ini
- <SYSTEM32>\wins\uuid.dll
- <SYSTEM32>\wins\svchost.exe
- <SYSTEM32>\wins\NTSVC.exe
- <SYSTEM32>\spool\Language\English.ini
- <SYSTEM32>\spool\Language\English.chm
- <SYSTEM32>\spool\Language\ChineseGB.ini
- <SYSTEM32>\spool\web\accheader.htm
- <SYSTEM32>\dllcache\delphi.exe
- <SYSTEM32>\spool\web\accadd.htm
- <SYSTEM32>\spool\Language\ChineseGB.chm
- <SYSTEM32>\wins\delphi.exe
- <Текущая директория>\IExp1orer.exe
- <Текущая директория>\cache.bat
- <Текущая директория>\windows.log
- <SYSTEM32>\spool\basic.exe
- <SYSTEM32>\spool\web\acclist.htm
- <SYSTEM32>\spool\AccInfo.ini
- <SYSTEM32>\wins\Language\English.ini
- <SYSTEM32>\wins\Language\English.chm
- <SYSTEM32>\wins\web\accheader.htm
- <SYSTEM32>\spool\CCProxy.ini
- <SYSTEM32>\wins\web\accadd.htm
- <SYSTEM32>\spool\web\settings.htm
- <SYSTEM32>\spool\web\list.htm
- <SYSTEM32>\spool\web\index.html
- <SYSTEM32>\spool\web\account.htm
- <SYSTEM32>\wins\Language\ChineseGB.ini
- <SYSTEM32>\spool\web\log.htm
- <SYSTEM32>\wins\Language\ChineseGB.chm
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\wins\uuid.dll
- <SYSTEM32>\spool\CDial.dll
- <SYSTEM32>\spool\AccInfo.ini
- <SYSTEM32>\wins\CDial.dll
- <SYSTEM32>\wins\AccInfo.ini
- <SYSTEM32>\spool\uuid.dll
- <SYSTEM32>\spool\svchost.exe
- <SYSTEM32>\spool\CCProxy.ini
- <SYSTEM32>\wins\svchost.exe
- <SYSTEM32>\wins\CCProxy.ini
Удаляет следующие файлы:
- <SYSTEM32>\spool\NTSVC.exe
- %TEMP%\~DFC1DD.tmp
- <SYSTEM32>\wins\delphi.exe
- <SYSTEM32>\wins\whw.exe
- <SYSTEM32>\wins\NTSVC.exe
- <SYSTEM32>\spool\whw.exe
- <SYSTEM32>\spool\spool.exe
- %TEMP%\~DF2850.tmp
- <Текущая директория>\cache.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\0920[1].asp
- <SYSTEM32>\wins\iexp1orer.exe
- %TEMP%\~DF4B3D.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '67.##5.160.76':80
- 'www.sk##67.com':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.sk##67.com/cs/html/0920.asp?Nu########################################################################################################
UDP:
- DNS ASK www.ya##o.com
- DNS ASK www.sk##67.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'C--WINDOWS-system32-spool-svchost.HLP' WindowName: ''
- ClassName: 'C--WINDOWS-system32-wins-svchost.HLP' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
