Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Please Input Service Name] 'Start' = '00000002'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\棋牌游戏\456游戏大厅\GameHelp.dll
- <Имя диска съемного носителя>:\棋牌游戏\456游戏大厅\dzip32.dll
- <Имя диска съемного носителя>:\棋牌游戏\456游戏大厅\niuniu\niuniuchs_1.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\1.tmp\svchost.exe'
- '%TEMP%\1.tmp\BarClient.exe'
- '%TEMP%\1.tmp\IEXPLORE.EXE'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k imgsvc
- '<SYSTEM32>\svchost.exe' -k netsvcs
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\ce.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\Net-Temp.ini
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\niuniu\niuniuchs_1.dll
- <SYSTEM32>\asphelp.jpg
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\GameHelp.dll
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\dzip32.dll
- C:\NT_Path.jpg
- %TEMP%\1.tmp\BarClient.exe
- %TEMP%\1.tmp\ce.bat
- %TEMP%\1.tmp\svchost.exe
- C:\2023300.dll
- %TEMP%\1.tmp\IEXPLORE.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\GameHelp.dll
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\dzip32.dll
- %PROGRAM_FILES%\KaiUnion Tech\456游戏\niuniu\niuniuchs_1.dll
Удаляет следующие файлы:
- C:\NT_Path.jpg
- C:\2023300.dll
- C:\Net-Temp.ini
- %TEMP%\1.tmp\svchost.exe
- %TEMP%\1.tmp\ce.bat
Сетевая активность:
Подключается к:
- 'ca####79.eicp.net':2009
UDP:
- DNS ASK ca####79.eicp.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
