Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ComputerBrowser] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\forendback.exe'
- '<SYSTEM32>\forendback.exe' /install /silent
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' start ComputerBrowser
- '<SYSTEM32>\regsvr32.exe' /s "<SYSTEM32>\laceexe.dll"
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\cabcaa.pro
- <SYSTEM32>\wbem\cwinsafe.dab
- <SYSTEM32>\wbem\433dss.iis
- <SYSTEM32>\yanyuanx.ini
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\Info[1].txt
- <SYSTEM32>\forendback.exe
- <SYSTEM32>\laceexe.dll
- <SYSTEM32>\hwd_Had091.dat
- <DRIVERS>\drivasca.drv
- <SYSTEM32>\helpwinxp.dll
- <SYSTEM32>\9782xxs.sys
Перемещает следующие файлы:
- <SYSTEM32>\helpwinxp.exe в <SYSTEM32>\helpwinxp.dll
- <SYSTEM32>\helpwinxp.dll в <SYSTEM32>\helpwinxp.exe
Сетевая активность:
Подключается к:
- 'ad.##kead.com':80
- 'www.mo##ad.com':80
- 'www.al###ba.com.cn':80
- 'localhost':1040
TCP:
Запросы HTTP GET:
- ad.##kead.com/starts.asp?id######################
- www.mo##ad.com/config/Info.txt
- www.al###ba.com.cn/
- ad.##kead.com/start.asp?id##
UDP:
- DNS ASK www.mo##ad.com
- DNS ASK ad.##kead.com
- DNS ASK www.al###ba.com.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
