Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\AntiSys-x64] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\AntiSys-x64] 'ImagePath' = '%WINDIR%\SysWOW64\drivers\AntiSys-x64.sys'
- [<HKLM>\System\CurrentControlSet\Services\Prevent64] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Prevent64] 'ImagePath' = '%WINDIR%\SysWOW64\drivers\Prevent64.sys'
- [<HKLM>\System\CurrentControlSet\Services\PreventLoad] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\PreventLoad] 'ImagePath' = '%WINDIR%\SysWOW64\drivers\PreventLoad.sys'
Создает следующие сервисы
- 'AntiSys-x64' %WINDIR%\SysWOW64\drivers\AntiSys-x64.sys
- 'Prevent64' %WINDIR%\SysWOW64\drivers\Prevent64.sys
- 'PreventLoad' %WINDIR%\SysWOW64\drivers\PreventLoad.sys
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\drivers\antihijack.dll
- %WINDIR%\syswow64\drivers\block.ini
- %WINDIR%\syswow64\drivers\prevent64.sys
- %WINDIR%\syswow64\drivers\preventload.sys
- %WINDIR%\temp\udd64ca.tmp
- %WINDIR%\temp\udd64dc.tmp
- %WINDIR%\temp\udd6d28.tmp
- %WINDIR%\temp\udd7535.tmp
- %WINDIR%\temp\udd7d42.tmp
- %WINDIR%\temp\udd856e.tmp
- %WINDIR%\temp\udd8d6c.tmp
Удаляет следующие файлы
- %WINDIR%\temp\udd64ca.tmp
- %WINDIR%\temp\udd64dc.tmp
- %WINDIR%\temp\udd6d28.tmp
- %WINDIR%\temp\udd7535.tmp
- %WINDIR%\temp\udd7d42.tmp
- %WINDIR%\temp\udd856e.tmp
- %WINDIR%\temp\udd8d6c.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'wa##5.com':80
- 'wa##5.com':443
- 'microsoft.com':80
- '81.##.239.145':5000
TCP
Запросы HTTP GET
- http://www.wa##5.com/index.txt
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://81.##.239.145:5000/ via 81.##.239.145
Другие
- 'wa##5.com':443
UDP
- DNS ASK wa##5.com
- DNS ASK microsoft.com
