Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%PROGRAM_FILES%\Me application\QvodSetup3.5.exe_32F3FBD2069F124E823ABF827A2A43F6E0DD3276.exe' = '%PROGRAM_FILES%\Me application\QvodSetup3.5.exe_32F3FBD2069F124E823ABF827A2A43F6E0DD3276.exe:*:Enabled:QVOD'
Создает и запускает на исполнение:
- '%PROGRAM_FILES%\Me application\QvodSetup3.5.exe_32F3FBD2069F124E823ABF827A2A43F6E0DD3276.exe'
- '%TEMP%\mlVGKlcnjs.exe'
- '%TEMP%\IzPheanp.exe' Second 00000ADC 1CD843F9 <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Me application\QvodSetup3.5.exe_32F3FBD2069F124E823ABF827A2A43F6E0DD3276.exe
- %TEMP%\nsv3.tmp\System.dll
- %TEMP%\nsv3.tmp\inetc.dll
- %TEMP%\nsv3.tmp\FindProcDLL.dll
- %TEMP%\315D245F.tmp
- %TEMP%\nsg2.tmp
- %TEMP%\mlVGKlcnjs.exe
- %TEMP%\IzPheanp.exe
- %TEMP%\43f9.tmp
- %TEMP%\syDynY0598.dat
- %TEMP%\00-00-00-00-00-1.tmp
Удаляет следующие файлы:
- %TEMP%\43f9.tmp
- %TEMP%\315D245F.tmp
- %TEMP%\IzPheanp.exe
- %TEMP%\00-00-00-00-00-1.tmp
- %TEMP%\syDynY0598.dat
Самоудаляется.
Сетевая активность:
Подключается к:
- '16#.#18.30.51':799
- 'dl.#ftz.net':999
- '16#.#18.30.53':799
- '16#.#18.30.52':799
- 'ag###.qvod.com':80
- '69.##7.18.200':999
- '16#.#18.30.50':799
- 'ck.#ftz.net':999
UDP:
- DNS ASK ag###.qvod.com
- DNS ASK dl.#ftz.net
- DNS ASK www.ba##u.com
- DNS ASK ck.#ftz.net
- DNS ASK tr###.qvod.com
- DNS ASK st####.sipphone.com
- DNS ASK st##.qvod.com
- '23#.#55.255.250':1900
- 'tr###.qvod.com':80
- 'st##.qvod.com':3478
- 'st####.sipphone.com':3478
- '<IP-адрес в локальной сети>':0
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
