Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'java' = '%APPDATA%\GOOGLE\winlogon.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'scvhost' = '%APPDATA%\scvhost.exe.exe'
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'scvhost' = '%APPDATA%\scvhost.exe.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\svchosted.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- winlogon.exe
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\hiyfd.bat
- %APPDATA%\google\winlogon.exe
- %APPDATA%\net.vbs
- %APPDATA%\net.bat
- %APPDATA%\lovely.ini
- %APPDATA%\scvhost.exe.exe
Присваивает атрибут 'скрытый' для следующих файлов
- <Имя диска съемного носителя>:\svchosted.exe
- <Имя диска съемного носителя>:\autorun.inf
Сетевая активность
Подключается к
- 'dl.##opbox.com':80
- 'dl.##opbox.com':443
TCP
Запросы HTTP GET
- http://dl.##opbox.com/u/21347094/crypts/stealth-2.exe
Другие
- 'dl.##opbox.com':443
UDP
- DNS ASK dl.##opbox.com
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%APPDATA%\google\winlogon.exe'
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\hIYfD.bat" "' (со скрытым окном)
- '%APPDATA%\google\winlogon.exe' ' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c ""%TEMP%\hIYfD.bat" "
- '%WINDIR%\syswow64\reg.exe' ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "java" /t REG_SZ /d "%APPDATA%\GOOGLE\winlogon.exe" /f
