Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\NEPKernel] 'ImagePath' = '<DRIVERS>\NEPKernel_win7.sys'
Создает следующие сервисы
- 'NEPKernel' <DRIVERS>\NEPKernel_win7.sys
Вредоносные функции
Ищет следующие окна с целью
обнаружения виртуальных машин:
- ClassName: 'VBoxTrayToolWndClass', WindowName: ''
- ClassName: '', WindowName: 'VBoxTrayToolWnd'
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\evb4451.tmp
- %ALLUSERSPROFILE%\neteasewindev\isc.dat
- <Текущая директория>\dbgeng.dll
- <Текущая директория>\ext.dll
- <DRIVERS>\nepkernel_win7.sys
- %WINDIR%\temp\uddc061.tmp
Удаляет следующие файлы
- %WINDIR%\temp\uddc061.tmp
Изменяет файл HOSTS.
Сетевая активность
Подключается к
- 'yb.##n.163.com':443
- 'microsoft.com':80
- 'oc##.#ectigo.com':80
- 'cr#.#ectigo.com':80
- '59.##1.238.27':80
TCP
Запросы HTTP GET
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
- http://oc##.#ectigo.com/MFIwUDBOMEwwSjAJBgUrDgMCGgUABBQ5suEceKjAJbxseAmHFkQ9FrhTWQQUDuE6qFM6MdWKvsG7rWcaA4WtNA4CEQCCJC6DY7GB26naIiTzqUCS
- http://cr#.#ectigo.com/SectigoRSACodeSigningCA.crl
Другие
- 'yb.##n.163.com':443
- '59.##1.238.27':80
UDP
- DNS ASK yb.##n.163.com
- DNS ASK microsoft.com
- DNS ASK oc##.#ectigo.com
- DNS ASK ti###.aliyun.com
- DNS ASK cr#.#ectigo.com
- 'ti###.aliyun.com':123
