Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe] 'Debugger' = 'qpqpdnd_.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'qw7v4x1c4fxsq' = '"C:\ProgramData\svchost0\mwvaztybt.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\services\SSDPSRV] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '%WINDIR%\explorer.exe'
- '<SYSTEM32>\schtasks.exe' /CREATE /SC ONLOGON /TN "Windows Update Check - 0x19CF045A" /TR "C:\ProgramData\svchost0\mwvaztybt.exe" /RL HIGHEST
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\Dwm.exe
- %WINDIR%\explorer.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2500' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '2500' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Tasks\Windows Update Check - 0x19CF045A
Самоперемещается:
- из <Полный путь к вирусу> в C:\ProgramData\svchost0\mwvaztybt.exe
Сетевая активность:
Подключается к:
- 'yk###ork.biz':80
- '20#.#6.232.182':80
TCP:
Запросы HTTP POST:
- yk###ork.biz/path/order.php
UDP:
- DNS ASK yk###ork.biz
- DNS ASK windowsupdate.microsoft.com
Другое:
Ищет следующие окна:
- ClassName: 'wsuwsuws' WindowName: 'ooaooaoo'
- ClassName: 'Indicator' WindowName: '(null)'
