Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet003\Services\aqjrcy] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\yqjrcyyi] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\aqjrcy] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet002\Services\aqjrcy] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\IXP000.TMP\1.exe'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k aqjrcy
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQueryDirectoryFile, драйвер-обработчик: cskqih.sys
- NtDeviceIoControlFile, драйвер-обработчик: cskqih.sys
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\cskqih.dll
- <DRIVERS>\cskqih.sys
- %TEMP%\IXP000.TMP\1.exe
- <SYSTEM32>\0006c93e.ini
Удаляет следующие файлы:
- %TEMP%\IXP000.TMP\1.exe
Сетевая активность:
Подключается к:
- '21#.#5.140.179':80
TCP:
Запросы HTTP POST:
- 21#.#5.140.179/20130627/183401/318265.jsp
- 21#.#5.140.179/20130627/183346/303140.jsp
- 21#.#5.140.179/20130627/183330/286828.jsp
- 21#.#5.140.179/20130627/183415/332500.jsp
- 21#.#5.140.179/20130627/183502/379125.jsp
- 21#.#5.140.179/20130627/183447/363812.jsp
- 21#.#5.140.179/20130627/183431/348187.jsp
- 21#.#5.140.179/20130627/183213/210609.jsp
- 21#.#5.140.179/20130627/183158/195140.jsp
- 21#.#5.140.179/20130627/183142/179578.jsp
- 21#.#5.140.179/20130627/183229/225843.jsp
- 21#.#5.140.179/20130627/183315/271812.jsp
- 21#.#5.140.179/20130627/183259/256734.jsp
- 21#.#5.140.179/20130627/183244/241078.jsp
