Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<DRIVERS>\etc\rundll32.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'MsAudio' = '<SYSTEM32>\explorer.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'MsAudio' = '%WINDIR%\winlogon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\winlogon.exe'
Завершает или пытается завершить
следующие пользовательские процессы:
- wow.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\cmd.com
- <SYSTEM32>\msconfig.com
- <SYSTEM32>\taskmgr.com
- <SYSTEM32>\dxdiag.com
- <SYSTEM32>\telnet.com
- <SYSTEM32>\explorer.exe
- %WINDIR%\winlogon.exe
- <DRIVERS>\etc\rundll32.exe
- <SYSTEM32>\regedit.com
- <SYSTEM32>\net.com
Сетевая активность:
Подключается к:
- 'ss###3.zip.io':80
TCP:
Запросы HTTP GET:
- ss###3.zip.io/updata.jpg
UDP:
- DNS ASK ss###3.zip.io
Другое:
Ищет следующие окна:
- ClassName: 'TfrmMain' WindowName: '????????'
- ClassName: 'zhengtu_client' WindowName: ''
- ClassName: 'GxWindowClassD3d' WindowName: ''
- ClassName: 'D3D Window' WindowName: 'YB_OnlineClient'
- ClassName: 'WSGAME' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'OWL_Window' WindowName: ''
- ClassName: '' WindowName: 'WPE PRO'
- ClassName: '' WindowName: 'eXpLoRer'
- ClassName: '' WindowName: 'WinHex'
- ClassName: 'TSpyMain' WindowName: ''
- ClassName: 'TForm1' WindowName: '???????????? ??????(??????)'
- ClassName: 'TFormMain' WindowName: 'Visual Sniffer'
