Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\gwvcv.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:ipsec'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
- Центр обеспечения безопасности (Security Center)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cmd.exe
- <SYSTEM32>\cscript.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\winvexky.exe
- <DRIVERS>\jmkmh.sys
- %TEMP%\winpmpo.exe
- %TEMP%\wineevd.exe
- %TEMP%\winsvdmk.exe
- %TEMP%\winucbrl.exe
- C:\xyldal.exe
- C:\autorun.inf
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\gwvcv.exe
- C:\autorun.inf
- C:\xyldal.exe
Удаляет следующие файлы:
- <DRIVERS>\jmkmh.sys
- %TEMP%\winvexky.exe
- %TEMP%\winucbrl.exe
- %TEMP%\winsvdmk.exe
Сетевая активность:
Подключается к:
- '46.##5.103.219':80
- 'pa###p.com.ds':80
TCP:
Запросы HTTP GET:
- 46.##5.103.219/sobakavolos.gif?77###########
- pa###p.com.ds/sobaka1.gif?76###########
UDP:
- DNS ASK pa###p.com.ds
- '18#.#.70.229':7696
- '61.##.239.108':5060
- '18#.#15.109.121':7119
- '27.#.89.77':6820
- '21#.#33.213.98':5935
- '10#.#46.170.250':4392
- '46.##7.108.173':4276
- '11#.#11.222.174':5459
- '11#.#03.99.11':5878
- '12#.#61.133.124':5460
- '20#.#4.17.52':5160
- '18#.#.71.105':5616
- '19#.#55.50.163':6076
- '18#.#27.18.176':6455
- '18#.#1.168.143':5415
- '11#.#61.196.135':4879
- '11#.#42.44.131':5683
- '11#.#10.67.236':5482
- '19#.#99.41.116':6500
- '95.#.32.113':6704
- '20#.#4.71.52':6511
- '18#.#3.89.141':6868
- '17#.#.206.98':5497
- '17#.#.72.124':6621
- '17#.#9.240.92':5274
- '18#.#0.163.109':6621
- '12#.#1.183.132':6580
- '19#.#55.50.162':7379
- '1.#.1.139':6228
- '89.##.41.228':4375
- '11#.#90.240.60':6964
- '13#.#92.86.188':7990
- '18#.#54.203.57':6130
- '86.##2.110.65':6065
- '10#.51.97.0':6028
- '18#.#0.223.47':8091
- '20#.#77.39.91':5951
- '10#.#1.97.244':5415
- '64.##4.98.137':4310
- '89.#3.14.40':3412
- '13#.#95.4.109':7220
- '20#.#77.156.229':4343
- '60.##9.33.106':5405
- '18#.#12.137.85':5240
- '10#.#33.28.17':5545
- '2.##.87.200':8198
- '77.##.236.110':6856
- '12#.#9.102.88':5610
- '89.##.239.206':6260
- '10#.#47.103.136':4539
- '13#.#92.25.106':5372
- '89.##3.156.128':5380
- '49.##4.215.233':4900
- '11#.#48.25.156':6442
- '27.#9.7.156':4516
- '81.##.123.56':7444
- '18#.#1.190.102':9674
- '11#.#64.71.150':4539
- '10#.#2.182.138':6455
- '10#.#2.182.35':5625
- '92.##.164.196':7143
- '19#.#05.251.213':5060
- '11#.#63.156.110':6455
- '18#.#8.104.67':5497
- '41.##.101.240':7824
- '1.###.132.112':5764
- '18#.#37.183.2':5415
- '12#.#38.11.253':5395
- '19#.#55.50.168':6538
- '89.##.188.184':4678
- '91.##1.79.132':5225
- 'localhost':1258
- '77.#1.49.54':4800
- '89.##.107.152':5545
- '20#.#09.6.20':5549
- '11#.#42.153.63':6260
- '19#.#76.169.170':4987
- '86.##7.79.134':6455
- '61.##.239.107':6580
- '20#.#.145.132':6780
- '59.##2.90.25':4852
- '11#.#1.47.73':6028
- '12#.#88.228.157':3760
- '20#.#3.216.186':6028
- '89.##.189.86':6380
- '22#.#9.205.69':6590
- '18#.#9.157.94':4375
- '13#.#95.70.150':6621
- '18#.#2.133.28':6065
- '18#.#14.190.203':5376
- 'localhost':1259
- '22#.#25.127.12':6912
- '12#.#36.124.83':6390
- '17#.#38.56.3':6500
- '19#.36.18.7':4441
- 'localhost':6755
- 'localhost':1228
- '14.##.53.190':6755
- 'localhost':1231
- 'localhost':1229
- 'localhost':1230
- '18#.#13.239.228':7456
- '20#.#76.90.150':4610
- '12#.#9.32.120':6520
- '17#.#39.223.199':5210
- '27.#.80.211':5740
- '19#.#09.154.155':4343
- '11#.#04.85.40':5372
- '27.#1.3.116':5884
- '89.##.169.72':4180
- '21#.#04.207.164':5888
- '20#.#08.96.135':6166
- '20#.#08.197.227':6718
- '18#.#2.132.131':6820
- '20#.#60.55.45':4660
- '31.##.224.38':5740
- '85.##6.62.109':6704
- '11#.#4.91.21':4510
- '46.##4.146.172':7538
- '87.##1.31.79':5107
- '19#.#6.127.169':5805
- '91.##4.82.107':9674
- '19#.#75.86.5':6420
- '19#.#99.205.131':4343
- '13#.#.185.117':5421
- '19#.#04.209.39':9674
- '46.##.110.15':4544
- '12#.#38.180.155':6286
- '79.##9.230.17':6228
- '17#.80.7.21':5044
- '12#.#36.245.204':8030
- '16#.#00.94.217':5616
- '20#.#13.137.232':8020
- '17#.#56.160.186':5415
- '13#.#.124.237':6390
- '20#.#2.112.130':5176
- '89.##9.236.171':5517
- '16#.#.101.249':5517
- '83.##.19.124':5517
- '77.##2.85.173':4956
- '81.##0.94.112':6724
- '18#.#8.58.176':8040
- '86.##3.176.84':5517
- '37.##.182.68':5517
- '10#.#2.38.78':5517
- '85.#5.85.85':5517
- '20#.#0.57.62':5517
- '24#.#2.113.228':5517
- '48.#.73.23':5517
- '20#.#5.100.171':6820
- '11#.#63.246.18':5210
- '12#.9.38.86':9674
- '12#.#75.36.168':7948
- '20#.#23.217.36':11010
- '17#.#3.201.155':6028
- '11#.#41.191.207':7866
- '18#.224.9.8':5218
- '92.##.84.199':1473
- '94.##.206.19':1473
- '21#.#0.126.141':5630
- '86.##1.133.253':6420
- '18#.#36.212.118':7360
- '92.##.84.109':1473
- '17#.#23.133.97':5905
- '49.##7.184.0':6260
- '20#.#11.244.180':6590
- '12#.#7.76.102':6740
- '92.##.214.217':6822
- '18#.#4.11.190':4477
- '17#.#13.58.84':5141
- '22#.#01.152.222':8116
- '58.##6.123.77':6065
- '20#.#1.24.61':5164
- '11#.#3.252.34':8032
- '21#.#0.10.187':6704
- '20#.#82.70.74':4804
- '85.##4.47.139':6953
- '84.##2.248.226':5610
- '18#.#21.232.187':8030
- '11#.#63.246.13':7456
- '62.##8.71.162':6650
- '17#.#31.254.183':9674
- '37.##7.2.104':4579
- '86.##5.92.172':5020
- '19#.#01.193.50':6580
- '94.##6.162.132':4294
- '1.###.138.163':5141
- '12#.#69.199.186':6822
- '1.##.99.246':6882
- '95.#6.12.9':6910
- '20#.#3.53.194':7866
- '18#.#08.176.7':6130
- '19#.#7.247.164':6511
- '18#.#2.158.25':7866
- '13#.#95.76.180':5650
- '12#.#38.178.189':4510
- '12#.#3.168.139':3510
- '18#.#.157.35':7866
- '15#.#37.116.11':4492
- '94.##6.132.230':7140
- '11#.#2.184.146':5029
- '62.##.100.157':4516
- '17#.#9.91.121':6455
- '86.##1.161.117':6535
- '59.##2.90.21':6274
- '13#.#92.28.175':5415
- '11#.#3.209.170':5620
- '77.##.227.26':4343
- '12#.#36.66.77':4996
- '27.#.56.158':5506
- '20#.#62.6.154':6228
- '20#.#04.237.224':4936
- '20#.#2.176.224':5140
- '89.#7.63.12':6688
- '89.##.28.145':4505
- '77.##.226.48':5951
- '41.##7.220.211':6228
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
