Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup1' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP001.TMP\"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\stover] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\IXP001.TMP\2.exe'
- '<SYSTEM32>\stover.exe'
- '%TEMP%\IXP000.TMP\333.EXE'
- '%TEMP%\IXP000.TMP\QQїХјд~1.EXE'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\uninstal.bat
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'TRW2000 for Windows 9x'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\IXP001.TMP\2.exe
- <SYSTEM32>\stover.exe
- %WINDIR%\uninstal.bat
- %TEMP%\$$$$$$$$.{D6277990-4C6A-11CF-8D87-00AA0060F5BF}\523D\ $$$2\com1.{21EC2020-3AEA-1069-A2DD-08002B30309D}\{BD838544-9794-4A62-B3A8-106F177E8722}
- %TEMP%\IXP000.TMP\333.EXE
- %TEMP%\IXP000.TMP\QQїХјд~1.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\stover.exe
Удаляет следующие файлы:
- %TEMP%\IXP001.TMP\2.exe
Сетевая активность:
Подключается к:
- 'rg###a.vicp.net':85
UDP:
- DNS ASK rg###a.vicp.net
Другое:
Ищет следующие окна:
- ClassName: 'TDeDeMainWindow' WindowName: '(null)'
- ClassName: 'ACPU' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'PROGMAN' WindowName: '(null)'
- ClassName: '(null)' WindowName: 'TWX2002 for Windows 9x'
- ClassName: '(null)' WindowName: 'RegmonClass'
