Техническая информация
Для обеспечения автозапуска и распространения:
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\mshtml.dll файлом <SYSTEM32>\mshtml.dll.mod
- <SYSTEM32>\dllcache\mshtml.dll файлом <SYSTEM32>\dllcache\mshtml.dll
Заражает следующие исполняемые файлы:
- <SYSTEM32>\mshtml.dll.mod
- <SYSTEM32>\dllcache\mshtml.dll
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\svchoss.exe'
- '%WINDIR%\ngOITol.exe'
- 'C:\9.26µНь±¶№¦.exe'
- 'C:\Нтxxoo.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 127.0.0.1 -n 10
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\delself.bat" "
Завершает или пытается завершить
следующие пользовательские процессы:
- firefox.exe
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\dnf1[2].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\baidu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\hh5701[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\dnf[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\dnf1[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\xf5701[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\baidu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\s[1].com&inputT=0
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\dnfry[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\52jndy[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\xiaogongju[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\jinhua[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\haojie[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\gju[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\s[2].com&inputT=0
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\baidu[2]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\s[1].com&rsv_bp=0&inputT=6094
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\dnf1[3].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\dnf3[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\dnf1[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\hh5701[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\yy5701[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\dnf1[1].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\xf5701[1]
- C:\Нтxxoo.exe
- C:\9.26µНь±¶№¦.exe
- %TEMP%\TEMP~~1159.ini
- <SYSTEM32>\svchoss.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\dnf1[2].htm
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\52jndy[1]
- %TEMP%\delself.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\baidu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\s[1].com&rsv_bp=0&ch=&tn=360se_dg&bar=&inputT=4844
- <SYSTEM32>\Vlboh.OJN
- %WINDIR%\ngOITol.exe
- %TEMP%\ComA.tmp
- %TEMP%\Vlboh.OJN
- %TEMP%\ComB.tmp
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\52jndy[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\hh5701[1]
- <SYSTEM32>\svchoss.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\baidu[2]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\baidu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\baidu[1]
- C:\Нтxxoo.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\baidu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\xf5701[1]
Перемещает следующие системные файлы:
- <SYSTEM32>\mshtml.dll в <SYSTEM32>\mshtml.dllpDVFX
- <SYSTEM32>\dllcache\mshtml.dll в <SYSTEM32>\dllcache\mshtml.dllpDVFX
Сетевая активность:
Подключается к:
- 'www.52##dy.com':80
- 'www.yy##01.com':80
- 'localhost':1048
- 'www.tt##6.com':80
- '12#.#25.114.144':80
- 'localhost':1036
- 'localhost':1035
- '18#.#0.147.71':54321
- 'www.hh##01.com':80
- 'www.xf##01.com':80
TCP:
Запросы HTTP GET:
- 12#.#25.114.144/s?wd####################################
- www.yy##01.com/dnf3.htm
- 12#.#25.114.144/s?bs#######################################################
- www.hh##01.com/dnf.htm
- 12#.#25.114.144/s?bs#####################################################
- www.tt##6.com/gju.htm
- www.tt##6.com/haojie.htm
- www.tt##6.com/jinhua.htm
- www.tt##6.com/xiaogongju.htm
- www.xf##01.com/dnfry.htm
- www.xf##01.com/dnf1.htm
- www.yy##01.com/dnf1.htm
- www.xf##01.com/
- www.hh##01.com/
- www.yy##01.com/
- 12#.#25.114.144/s?wd#########################################################
- 12#.#25.114.144/
- www.hh##01.com/dnf1.htm
- www.52##dy.com/
UDP:
- DNS ASK www.52##dy.com
- DNS ASK www.ba##u.com
- DNS ASK www.tt##6.com
- DNS ASK www.xf##01.com
- DNS ASK www.hh##01.com
- DNS ASK www.yy##01.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: '12345'
- ClassName: 'TWINCONTROL' WindowName: '????????????'
- ClassName: '(null)' WindowName: '-555303799.exe'
- ClassName: '54321' WindowName: '12345'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
