Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\MSCOManager06] 'Start' = '00000002'
- [HKLM\System\CurrentControlSet\Services\MSCOManager06] 'ImagePath' = '<SYSTEM32>\svchost.exe -k netsvcs'
- [HKLM\SYSTEM\CurrentControlSet\Services\MSCOManager06\Parameters] 'ServiceDll' = '%WINDIR%\inf\oem201.inf'
Создает следующие сервисы
- 'MSCOManager06' <SYSTEM32>\svchost.exe -k netsvcs
Вредоносные функции
Ищет следующие окна с целью
обхода различных антивирусов:
- ClassName: 'AVP.AlertDialog', WindowName: 'Ö÷¶¯·ÀÓù'
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\syswow64\inf\msdcomfix.exe
- %WINDIR%\syswow64\inf\07.exe
- %WINDIR%\inf\msdcomfix.exe
- %WINDIR%\syswow64\5985-658
- %WINDIR%\inf\oem201.inf
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\inf\oem201.inf
Удаляет следующие файлы
- %WINDIR%\inf\oem201.inf
Сетевая активность
UDP
- DNS ASK 88#.#43call.cn
- DNS ASK so##.16990.com
Другое
Ищет следующие окна
- ClassName: '#32770' WindowName: 'Г—ВўВІГЎВ±ГВѕВЇВёГ¦'
- ClassName: '###McAlertWindow###' WindowName: ''
- ClassName: '#32770' WindowName: 'McAfee Personal Firewall Plus ВѕВЇВ±ВЁ'
- ClassName: 'Afx:400000:0' WindowName: ''
- ClassName: '#32770' WindowName: 'Æ滢360°²È«ÎÀÊ¿'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\inf\07.exe'
- '%WINDIR%\syswow64\inf\msdcomfix.exe' /install e25
- '%WINDIR%\inf\msdcomfix.exe'
Запускает на исполнение
- '%WINDIR%\inf\msdcomfix.exe' (со скрытым окном)
