Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'mWGDVHh9i' = '"<SYSTEM32>\ySPfY8.com"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'miN4D5wi' = '"<SYSTEM32>\ySPfY8.com"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'jPH56yu' = '"<SYSTEM32>\QpZXg1.com"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'rOxBl8Y0' = '"<SYSTEM32>\QpZXg1.com"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'IroRA' = '"<SYSTEM32>\DNvRPYj.pif"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Wx7Qk' = '"<SYSTEM32>\DNvRPYj.pif"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'IroRA' = '"<SYSTEM32>\Jv3BxF.bat"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Wx7Qk' = '"<SYSTEM32>\Jv3BxF.bat"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'jPH56yu' = '"<SYSTEM32>\0FmGb.cmd"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'rOxBl8Y0' = '"<SYSTEM32>\0FmGb.cmd"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'B5bsDcAG' = '"<SYSTEM32>\QpZXg1.exe"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'miN4D5wi' = '"<SYSTEM32>\QpZXg1.exe"'
- [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] '7hvH1' = '"<SYSTEM32>\0FmGb.pif"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'rOxBl8Y0' = '"<SYSTEM32>\0FmGb.pif"'
- [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 'Wx7Qk' = '"<SYSTEM32>\0FmGb.pif"'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- ko_hea~1.exe
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'FileMonClass', WindowName: ''
- ClassName: 'RegMonClass', WindowName: ''
- ClassName: 'PROCMON_WINDOW_CLASS', WindowName: ''
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\ko_hea~1.exe
- %APPDATA%\kernel33.dll
- %APPDATA%\1.exe
- %TEMP%\ixp000.tmp\tmp
- %WINDIR%\ko_heavenfireii3.0.96.exe
- %WINDIR%\syswow64\yspfy8.com
- %WINDIR%\syswow64\qpzxg1.com
- %WINDIR%\syswow64\dnvrpyj.pif
- %WINDIR%\syswow64\jv3bxf.bat
- %ALLUSERSPROFILE%\temp:3ea022a8
- %WINDIR%\syswow64\qpzxg1.exe
- %WINDIR%\syswow64\0fmgb.pif
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\syswow64\yspfy8.com
- %WINDIR%\syswow64\qpzxg1.com
- %WINDIR%\syswow64\dnvrpyj.pif
- %WINDIR%\syswow64\jv3bxf.bat
- %WINDIR%\syswow64\qpzxg1.exe
- %WINDIR%\syswow64\0fmgb.pif
Удаляет следующие файлы
- %WINDIR%\ko_heavenfireii3.0.96.exe
- %WINDIR%\syswow64\yspfy8.com
- %TEMP%\ixp000.tmp\ko_hea~1.exe
- %TEMP%\ixp000.tmp\tmp
- %WINDIR%\syswow64\0fmgb.pif
Подменяет следующие файлы
- %WINDIR%\ko_heavenfireii3.0.96.exe
- %WINDIR%\syswow64\yspfy8.com
Сетевая активность
Подключается к
- '34.##9.100.209':443
TCP
Другие
- '34.##9.100.209':443
Другое
Ищет следующие окна
- ClassName: 'ThunderRT6FormDC' WindowName: 'Shareware Cheater v 3.0'
- ClassName: 'ThunderRT6FormDC' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\ko_hea~1.exe'
- '%APPDATA%\1.exe'
- '%WINDIR%\ko_heavenfireii3.0.96.exe'
- '%WINDIR%\syswow64\yspfy8.com'
- '%WINDIR%\syswow64\qpzxg1.com'
- '%WINDIR%\syswow64\dnvrpyj.pif'
- '%WINDIR%\syswow64\jv3bxf.bat'
- '%WINDIR%\syswow64\qpzxg1.exe'
- '%WINDIR%\syswow64\0fmgb.pif'
Запускает на исполнение
- '%WINDIR%\syswow64\regsvr32.exe' /s "<SYSTEM32>\mswinsck.ocx" (со скрытым окном)
- '%WINDIR%\syswow64\yspfy8.com' (со скрытым окном)
- '%WINDIR%\syswow64\qpzxg1.com' (со скрытым окном)
- '%WINDIR%\syswow64\dnvrpyj.pif' (со скрытым окном)
- '%WINDIR%\syswow64\jv3bxf.bat' (со скрытым окном)
- '%WINDIR%\syswow64\qpzxg1.exe' (со скрытым окном)
- '%WINDIR%\syswow64\0fmgb.pif' (со скрытым окном)
