Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,C:\System\scvhost.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'WindowsUpdate' = 'C:\System\scvhost.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '<Текущая директория>\bascom.exe'
- 'C:\System\scvhost.exe'
- '<Текущая директория>\Foto.exe'
- '<Текущая директория>\vhost.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\ful3bkqe.cmdline"
- '<SYSTEM32>\attrib.exe' "<Текущая директория>\Foto.exe" +s +h
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\187750.bat" "<Текущая директория>\vhost.exe" "
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES6.tmp" "%TEMP%\CSC5.tmp"
- '<SYSTEM32>\notepad.exe'
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\gc8itto6.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\csc.exe' /noconfig /fullpaths @"%TEMP%\dwvov0ip.cmdline"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES4.tmp" "%TEMP%\CSC2.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES3.tmp" "%TEMP%\CSC1.tmp"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Options]
- [<HKCU>\Software\BPFTP]
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Options]
- [<HKCU>\Software\BPFTP\Bullet Proof FTP\Main]
- [<HKCU>\Software\BulletProof Software\BulletProof FTP Client\Main]
- [<HKCU>\Software\Sota\FFFTP\Options]
- [<HKCU>\Software\South River Technologies\WebDrive\Connections]
- [<HKLM>\Software\South River Technologies\WebDrive\Connections]
- [<HKCU>\Software\FTP Explorer\Profiles]
- [<HKCU>\Software\CoffeeCup Software\Internet\Profiles]
- [<HKCU>\Software\FTPWare\COREFTP\Sites]
- [<HKLM>\Software\FlashFXP]
- [<HKCU>\Software\Far2\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\Far\SavedDialogHistory\FTPHost]
- [<HKCU>\Software\Far\Plugins\FTP\Hosts]
- [<HKCU>\Software\Far2\Plugins\FTP\Hosts]
- [<HKLM>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\FlashFXP]
- [<HKLM>\Software\FlashFXP\3]
- [<HKCU>\Software\FlashFXP\3]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKLM>\Software\Ghisler\Total Commander]
Изменения в файловой системе:
Создает следующие файлы:
- C:\System\scvhost.exe
- %TEMP%\ful3bkqe.0.cs
- %TEMP%\dwvov0ip.dll
- %TEMP%\RES3.tmp
- %TEMP%\gc8itto6.dll
- %TEMP%\ful3bkqe.cmdline
- %TEMP%\ful3bkqe.dll
- %TEMP%\187750.bat
- %TEMP%\RES6.tmp
- %TEMP%\ful3bkqe.out
- %TEMP%\CSC5.tmp
- %TEMP%\RES4.tmp
- %TEMP%\dwvov0ip.0.cs
- %TEMP%\dwvov0ip.cmdline
- <Текущая директория>\Foto.exe
- <Текущая директория>\vhost.exe
- <Текущая директория>\bascom.exe
- %TEMP%\dwvov0ip.out
- %TEMP%\CSC2.tmp
- %TEMP%\CSC1.tmp
- %TEMP%\gc8itto6.out
- %TEMP%\gc8itto6.0.cs
- %TEMP%\gc8itto6.cmdline
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\System\scvhost.exe
- <Текущая директория>\Foto.exe
- <Текущая директория>\vhost.exe
Удаляет следующие файлы:
- <Текущая директория>\Foto.exe
- %TEMP%\RES6.tmp
- %TEMP%\dwvov0ip.0.cs
- %TEMP%\dwvov0ip.cmdline
- %TEMP%\CSC5.tmp
- %TEMP%\ful3bkqe.out
- %TEMP%\ful3bkqe.cmdline
- %TEMP%\ful3bkqe.0.cs
- %TEMP%\ful3bkqe.dll
- %TEMP%\dwvov0ip.out
- %TEMP%\RES3.tmp
- %TEMP%\CSC1.tmp
- %TEMP%\RES4.tmp
- %TEMP%\CSC2.tmp
- %TEMP%\gc8itto6.dll
- %TEMP%\gc8itto6.cmdline
- %TEMP%\dwvov0ip.dll
- %TEMP%\gc8itto6.0.cs
- %TEMP%\gc8itto6.out
Сетевая активность:
Подключается к:
- '18#.#7.1.229':999
- '18#.#7.1.229':433
- 'sl####9.no-ip.biz':999
- '18#.#7.1.229':1604
- 'au####ndel.24.eu':80
- 'sl####9.no-ip.biz':433
- 'sl####9.no-ip.biz':1604
TCP:
Запросы HTTP POST:
- au####ndel.24.eu/gate.php
UDP:
- DNS ASK sl####9.no-ip.biz
- DNS ASK au####ndel.24.eu
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: 'BASCOM 8051v2.0.11.0'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
