Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKCU\SOFTWARE\Classes\psiphon\shell\open\command] '' = '"<Полный путь к файлу>" -- "%1"'
Вредоносные функции
Изменяет следующие настройки браузера Windows Internet Explorer
- [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyEnable' = '00000001'
- [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyServer' = 'http=127.0.0.1:49186;https=127.0.0.1:49186;socks=127.0.0.1:49185'
- [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings] 'ProxyOverride' = '<local>;10.*;172.16.*;172.17.*;172.18.*;172.19.*;172.20.*;172.21.*;172.22.*;172.23.*;172.24.*;172.25.*;172....
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\main[1]
- %LOCALAPPDATA%\psiphon3\server_list.dat
- %TEMP%\psiphon-tunnel-core.exe
- %LOCALAPPDATA%\psiphon3\ca.psiphon.psiphontunnel.tunnel-core\datastore\psiphon.boltdb
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\logo[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.temp
- %LOCALAPPDATA%\psiphon3\psiphon.config
- %LOCALAPPDATA%\microsoft\windows\history\low\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\7ao7pc5h\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\h4t89b7c\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\9q288p47\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\sikerm1t\desktop.ini
- %APPDATA%\microsoft\windows\cookies\low\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\index.dat
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\index.dat
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.temp
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\flag_unknown_32[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ea09503g\banner[1]
- %TEMP%\dat6f26.tmp
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\logo-bw[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ea09503g\psicash_coin[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\turtle[1]
- %LOCALAPPDATA%\microsoft\internet explorer\msimgsiz.dat
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\psicash_coin_grey[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\rocket[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\icomoon[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ea09503g\flags32[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\speed-boost-button-1-day[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\speed-boost-button-1-week[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ea09503g\speed-boost-button-1-month[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\speed-boost-button-1-hour[2]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\speed-boost-button-1-day[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\speed-boost-button-1-week[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\speed-boost-button-1-month[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\speed-boost-button-1-hour[1]
- %LOCALAPPDATA%\psiphon3\ca.psiphon.psiphontunnel.tunnel-core\upgrade.181.part.etag
- %LOCALAPPDATA%\psiphon3\ca.psiphon.psiphontunnel.tunnel-core\upgrade.181.part
Присваивает атрибут 'скрытый' для следующих файлов
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\7ao7pc5h\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\h4t89b7c\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\9q288p47\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\low\content.ie5\sikerm1t\desktop.ini
- %LOCALAPPDATA%\microsoft\windows\history\low\history.ie5\desktop.ini
Удаляет следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\dyps348i\speed-boost-button-1-hour[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\i3nmat9z\speed-boost-button-1-day[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\zmuktniv\speed-boost-button-1-week[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\ea09503g\speed-boost-button-1-month[1]
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2
Перемещает следующие файлы
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.temp в %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.commit
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.commit в %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.temp в %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.commit
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.commit в %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2
Подменяет следующие файлы
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.temp
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.commit
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.temp
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2.commit
- %LOCALAPPDATA%\psiphon3\psicash\psicashdatastore.prod.2
Сетевая активность
Подключается к
- 'gl####.prod.fastly.com':443
- '18#.#52.222.147':53
- '13#.#44.46.138':22
- '37.##0.144.45':22
- '77.##.87.105':80
- '79.##2.79.149':983
- '21#.#27.32.207':53
- '19#.#96.51.44':554
- '82.##3.69.100':22
- 'a3###.na.akamai.net':80
- 'localhost':49186
TCP
Запросы HTTP GET
- http://x.##2.us/x.cer
- http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
- http://pk#.goog/gsr1/gsr1.crt
Запросы HTTP POST
- http://www.bo###bbyte.com/
- http://77.##.87.105/
Другие
- 'gl####.prod.fastly.com':443
- '18#.#52.222.147':53
- '79.##2.79.149':983
- '37.##0.144.45':22
- '13#.#44.46.138':22
- '82.##3.69.100':22
- '19#.#96.51.44':554
- '21#.#27.32.207':53
- 'localhost':49197
- 'localhost':49186
- 'localhost':49198
- 'localhost':49199
- 'localhost':49200
UDP
- DNS ASK gl####.prod.fastly.com
- DNS ASK a3###.na.akamai.net
- '21#.#60.155.198':443
Другое
Ищет следующие окна
- ClassName: 'Internet Explorer_Server' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\psiphon-tunnel-core.exe' --config "%LOCALAPPDATA%\Psiphon3\psiphon.config" --serverList "%LOCALAPPDATA%\Psiphon3\server_list.dat"
Запускает на исполнение
- '%WINDIR%\syswow64\rundll32.exe' "%WINDIR%\syswow64\WININET.dll",DispatchAPICall 1
- '%ProgramFiles(x86)%\opera\launcher.exe' -noautoupdate -- "https://ipfounder.net/?sponsor_id=1BC527D3D09985CF&sponsor=psiphon&client_region=NL&client_asn=60781&client_platform=windows&secret=580EfjEI29xL3hoyU6dgP4vSEVxdcGI7JDFkxgjds7P...
- '%ProgramFiles(x86)%\opera\29.0.1795.47\opera.exe' -noautoupdate --ran-launcher -- https://ipfounder.net/?sponsor_id=1BC527D3D09985CF&sponsor=psiphon&client_region=NL&client_asn=60781&client_platform=windows&secret=580EfjEI29xL3hoyU6dgP4vSEVxdc...
