Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet003\Services\zpexlw] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet002\Services\zpexlw] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\zpexlw] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k zpexlw
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\vtaaxc.dll
- <SYSTEM32>\00057fba.ini
Сетевая активность:
Подключается к:
- 'ca###a.oicp.net':80
TCP:
Запросы HTTP POST:
- ca###a.oicp.net/20130627/182021/298937.jsp
- ca###a.oicp.net/20130627/182037/314687.jsp
- ca###a.oicp.net/20130627/181954/272421.jsp
- ca###a.oicp.net/20130627/182008/285906.jsp
- ca###a.oicp.net/20130627/182053/331000.jsp
- ca###a.oicp.net/20130627/182133/371046.jsp
- ca###a.oicp.net/20130627/182220/418390.jsp
- ca###a.oicp.net/20130627/182106/343796.jsp
- ca###a.oicp.net/20130627/182119/356765.jsp
- ca###a.oicp.net/20130627/181935/253421.jsp
- ca###a.oicp.net/20130627/181750/148359.jsp
- ca###a.oicp.net/20130627/181805/163312.jsp
- ca###a.oicp.net/20130627/181717/114765.jsp
- ca###a.oicp.net/20130627/181735/133375.jsp
- ca###a.oicp.net/20130627/181820/178312.jsp
- ca###a.oicp.net/20130627/181902/220546.jsp
- ca###a.oicp.net/20130627/181921/239546.jsp
- ca###a.oicp.net/20130627/181833/191421.jsp
- ca###a.oicp.net/20130627/181848/205984.jsp
UDP:
- DNS ASK ca###a.oicp.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
