Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [HKLM\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcTEBhM.sys'
- [HKLM\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcZgiLp.sys'
- [HKLM\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcsAtVO.sys'
- [HKLM\System\CurrentControlSet\Services\abc2.0] 'ImagePath' = '%TEMP%\~abcBA5sB.sys'
Создает следующие сервисы
- 'abc2.0' %TEMP%\~abcTEBhM.sys
- 'abc2.0' %TEMP%\~abcZgiLp.sys
- 'abc2.0' %TEMP%\~abcsAtVO.sys
- 'abc2.0' %TEMP%\~abcBA5sB.sys
Вредоносные функции
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\~abcTEBhM.sys
- %TEMP%\~abcZgiLp.sys
- %TEMP%\wb164.exe
- %TEMP%\~abcsAtVO.sys
- %TEMP%\~abcBA5sB.sys
- %WINDIR%\syswow64\0406f1.dll
Присваивает атрибут 'скрытый' для следующих файлов
- %TEMP%\~abcTEBhM.sys
- %TEMP%\~abcZgiLp.sys
- %TEMP%\~abcsAtVO.sys
- %TEMP%\~abcBA5sB.sys
Удаляет следующие файлы
- %TEMP%\~abcTEBhM.sys
- %TEMP%\~abcZgiLp.sys
- %TEMP%\~abcsAtVO.sys
- %TEMP%\~abcBA5sB.sys
- %TEMP%\wb164.exe
Изменяет следующие файлы
- %HOMEPATH%\desktop\google chrome.lnk
Сетевая активность
Подключается к
- 'sp.###ove123.com':80
- '11#.#24.100.244':80
TCP
Запросы HTTP GET
- http://sp.###ove123.com/NIP.dat
- http://sp.###ove123.com/yzxy.txt
UDP
- DNS ASK sp.###ove123.com
- DNS ASK cs.###ove123.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'TPHelper.exe'
Создает и запускает на исполнение
- '%TEMP%\wb164.exe'
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c start %TEMP%\Wb164.exe (со скрытым окном)
