Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WebClient Service Play Proxy' = '<SYSTEM32>\ofcabuzp.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\ofcabuzp.exe
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WMI Spooler Smart Credential Solutions Secondary] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\kxdmmvb.exe' "<SYSTEM32>\ofcabuzp.exe"
- '%WINDIR%\Temp\o8qrpcay4kugyo.exe' -r 20375 tcp
- '%TEMP%\o8qrpcay4gjyymhn6sx.exe'
- '<SYSTEM32>\ofcabuzp.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\tnaqxgmtk\run
- <SYSTEM32>\tnaqxgmtk\rng
- <SYSTEM32>\tnaqxgmtk\cfg
- <SYSTEM32>\tnaqxgmtk\por
- %WINDIR%\Temp\o8qrpcay4kugyo.exe
- %TEMP%\o8qrpcay4gjyymhn6sx.exe
- <SYSTEM32>\tnaqxgmtk\tst
- <SYSTEM32>\tnaqxgmtk\etc
- <SYSTEM32>\kxdmmvb.exe
- <SYSTEM32>\ofcabuzp.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\kxdmmvb.exe
- <SYSTEM32>\ofcabuzp.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\o8qrpcay4kugyo.exe
- %TEMP%\o8qrpcay4gjyymhn6sx.exe
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'ji####herenow.net':80
- 'el#####arimagine.net':80
- 'sp###aguga.net':80
- 'ja###uter.net':80
- 'go#####everytime.net':80
- 'en#####paintshop.net':80
- 'ji####herenow.com':80
- 'el#####arimagine.com':80
- 'sp###aguga.com':80
- 'ja###uter.com':80
- 'go#####everytime.com':80
- 'en#####paintshop.com':80
TCP:
Запросы HTTP GET:
- ji####herenow.net/forum/search.php?me########################################
- el#####arimagine.net/forum/search.php?me########################################
- sp###aguga.net/forum/search.php?me########################################
- ja###uter.net/forum/search.php?me########################################
- go#####everytime.net/forum/search.php?me########################################
- en#####paintshop.net/forum/search.php?me########################################
- ji####herenow.com/forum/search.php?me########################################
- el#####arimagine.com/forum/search.php?me########################################
- sp###aguga.com/forum/search.php?me########################################
- ja###uter.com/forum/search.php?me########################################
- go#####everytime.com/forum/search.php?me########################################
- en#####paintshop.com/forum/search.php?me########################################
UDP:
- DNS ASK ji####herenow.net
- DNS ASK el#####arimagine.net
- DNS ASK sp###aguga.net
- DNS ASK ja###uter.net
- DNS ASK go#####everytime.net
- DNS ASK en#####paintshop.net
- DNS ASK ja###uter.com
- DNS ASK el#####arimagine.com
- DNS ASK sp###aguga.com
- DNS ASK ji####herenow.com
- DNS ASK go#####everytime.com
- DNS ASK en#####paintshop.com
- '23#.#55.255.250':1900
