Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Profile Computer Copy Base Security Parental' = '<SYSTEM32>\iiwztxvtbwat.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Reporting Hardware Configuration] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\aaleffwztdkk.exe' "<SYSTEM32>\iiwztxvtbwat.exe"
- '%WINDIR%\Temp\rdgsy728sfsc.exe' -r 49559 tcp
- '%TEMP%\rdgsy725cqscldjgch.exe'
- '<SYSTEM32>\iiwztxvtbwat.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\nwwesnbgzkko\run
- <SYSTEM32>\nwwesnbgzkko\rng
- <SYSTEM32>\nwwesnbgzkko\cfg
- <SYSTEM32>\nwwesnbgzkko\por
- %WINDIR%\Temp\rdgsy728sfsc.exe
- %TEMP%\rdgsy725cqscldjgch.exe
- <SYSTEM32>\nwwesnbgzkko\tst
- <SYSTEM32>\nwwesnbgzkko\etc
- <SYSTEM32>\aaleffwztdkk.exe
- <SYSTEM32>\iiwztxvtbwat.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\aaleffwztdkk.exe
- <SYSTEM32>\iiwztxvtbwat.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\rdgsy728sfsc.exe
- %TEMP%\rdgsy725cqscldjgch.exe
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'vi###llow.net':80
- 'lr###gives.net':80
- 'vi###ives.net':80
- 'lr###earth.net':80
- 'vi###arth.net':80
- 'lr###allow.net':80
- 'fi###arth.net':80
- 'pl###allow.net':80
- 'fi###llow.net':80
- 'pl###taste.net':80
- 'fi###aste.net':80
- 'pl###earth.net':80
- 'yo###aste.net':80
- 'tr###earth.net':80
- 'yo###arth.net':80
- 'wa###uess.net':80
- 'ta###uess.net':80
- 'tr###taste.net':80
- 'yo###ives.net':80
- 'lr###taste.net':80
- 'vi###aste.net':80
- 'tr###allow.net':80
- 'yo###llow.net':80
- 'tr###gives.net':80
- 'pl###gives.net':80
- 'to###ives.net':80
- 'fa###ives.net':80
- 'we###aste.net':80
- 'fa###arth.net':80
- 'to###llow.net':80
- 'fa###llow.net':80
- 'we###llow.net':80
- 've###llow.net':80
- 'we###ives.net':80
- 've###aste.net':80
- 'we###arth.net':80
- 've###arth.net':80
- 'se###earth.net':80
- 'le###earth.net':80
- 'se###allow.net':80
- 'fi###ives.net':80
- 'se###taste.net':80
- 'le###taste.net':80
- 'to###aste.net':80
- 'fa###aste.net':80
- 'to###arth.net':80
- 'le###allow.net':80
- 'se###gives.net':80
- 'le###gives.net':80
- 'se###first.net':80
- 'le###first.net':80
- 'se###guess.net':80
- 'ji###lasker.com':80
- 'se###kill.net':80
- 'le###kill.net':80
- 'to###ill.net':80
- 'fa###ill.net':80
- 'to###irst.net':80
- 'le###guess.net':80
- 'to###tood.net':80
- 'fa###tood.net':80
- 'gl###health.net':80
- 'ne####arydress.net':80
- 're####erpaint.net':80
- 'ta###fruit.net':80
- 'mi####lossary.net':80
- 'ge####friend.net':80
- 'sp###marry.net':80
- 'up###oud.net':80
- 'wr###threw.net':80
- 'li####appear.net':80
- 'th####hcountry.net':80
- 'fr###ride.net':80
- 'fa###irst.net':80
- 'mu###irst.net':80
- 'pi###guess.net':80
- 'mu###uess.net':80
- 'pi###kill.net':80
- 'mu###ill.net':80
- 'pi###first.net':80
- 'ta###ill.net':80
- 'wa###irst.net':80
- 'ta###irst.net':80
- 'wa###tood.net':80
- 'ta###tood.net':80
- 'wa###ill.net':80
- 've###tood.net':80
- 'we###ill.net':80
- 've###ill.net':80
- 'to###uess.net':80
- 'fa###uess.net':80
- 'we###tood.net':80
- 've###uess.net':80
- 'pi###stood.net':80
- 'mu###tood.net':80
- 'we###irst.net':80
- 've###irst.net':80
- 'we###uess.net':80
TCP:
Запросы HTTP GET:
- vi###llow.net/index.php?me#########################################
- lr###gives.net/index.php?me#########################################
- vi###ives.net/index.php?me#########################################
- lr###earth.net/index.php?me#########################################
- vi###arth.net/index.php?me#########################################
- lr###allow.net/index.php?me#########################################
- fi###arth.net/index.php?me#########################################
- pl###allow.net/index.php?me#########################################
- fi###llow.net/index.php?me#########################################
- pl###taste.net/index.php?me#########################################
- fi###aste.net/index.php?me#########################################
- pl###earth.net/index.php?me#########################################
- yo###aste.net/index.php?me#########################################
- tr###earth.net/index.php?me#########################################
- yo###arth.net/index.php?me#########################################
- wa###uess.net/index.php?me#########################################
- ta###uess.net/index.php?me#########################################
- tr###taste.net/index.php?me#########################################
- yo###ives.net/index.php?me#########################################
- lr###taste.net/index.php?me#########################################
- vi###aste.net/index.php?me#########################################
- tr###allow.net/index.php?me#########################################
- yo###llow.net/index.php?me#########################################
- tr###gives.net/index.php?me#########################################
- pl###gives.net/index.php?me#########################################
- to###ives.net/index.php?me#########################################
- fa###ives.net/index.php?me#########################################
- we###aste.net/index.php?me#########################################
- fa###arth.net/index.php?me#########################################
- to###llow.net/index.php?me#########################################
- fa###llow.net/index.php?me#########################################
- we###llow.net/index.php?me#########################################
- ve###llow.net/index.php?me#########################################
- we###ives.net/index.php?me#########################################
- ve###aste.net/index.php?me#########################################
- we###arth.net/index.php?me#########################################
- ve###arth.net/index.php?me#########################################
- se###earth.net/index.php?me#########################################
- le###earth.net/index.php?me#########################################
- se###allow.net/index.php?me#########################################
- fi###ives.net/index.php?me#########################################
- se###taste.net/index.php?me#########################################
- le###taste.net/index.php?me#########################################
- to###aste.net/index.php?me#########################################
- fa###aste.net/index.php?me#########################################
- to###arth.net/index.php?me#########################################
- le###allow.net/index.php?me#########################################
- se###gives.net/index.php?me#########################################
- le###gives.net/index.php?me#########################################
- se###first.net/index.php?me#########################################
- le###first.net/index.php?me#########################################
- se###guess.net/index.php?me#########################################
- ji###lasker.com/index.php?me#########################################
- se###kill.net/index.php?me#########################################
- le###kill.net/index.php?me#########################################
- to###ill.net/index.php?me#########################################
- fa###ill.net/index.php?me#########################################
- to###irst.net/index.php?me#########################################
- le###guess.net/index.php?me#########################################
- to###tood.net/index.php?me#########################################
- fa###tood.net/index.php?me#########################################
- gl###health.net/index.php?me#########################################
- ne####arydress.net/index.php?me#########################################
- re####erpaint.net/index.php?me#########################################
- ta###fruit.net/index.php?me#########################################
- mi####lossary.net/index.php?me#########################################
- ge####friend.net/index.php?me#########################################
- sp###marry.net/index.php?me#########################################
- up###oud.net/index.php?me#########################################
- wr###threw.net/index.php?me#########################################
- li####appear.net/index.php?me#########################################
- th####hcountry.net/index.php?me#########################################
- fr###ride.net/index.php?me#########################################
- fa###irst.net/index.php?me#########################################
- mu###irst.net/index.php?me#########################################
- pi###guess.net/index.php?me#########################################
- mu###uess.net/index.php?me#########################################
- pi###kill.net/index.php?me#########################################
- mu###ill.net/index.php?me#########################################
- pi###first.net/index.php?me#########################################
- ta###ill.net/index.php?me#########################################
- wa###irst.net/index.php?me#########################################
- ta###irst.net/index.php?me#########################################
- wa###tood.net/index.php?me#########################################
- ta###tood.net/index.php?me#########################################
- wa###ill.net/index.php?me#########################################
- ve###tood.net/index.php?me#########################################
- we###ill.net/index.php?me#########################################
- ve###ill.net/index.php?me#########################################
- to###uess.net/index.php?me#########################################
- fa###uess.net/index.php?me#########################################
- we###tood.net/index.php?me#########################################
- ve###uess.net/index.php?me#########################################
- pi###stood.net/index.php?me#########################################
- mu###tood.net/index.php?me#########################################
- we###irst.net/index.php?me#########################################
- ve###irst.net/index.php?me#########################################
- we###uess.net/index.php?me#########################################
UDP:
- DNS ASK vi###llow.net
- DNS ASK lr###gives.net
- DNS ASK vi###ives.net
- DNS ASK lr###earth.net
- DNS ASK vi###arth.net
- DNS ASK lr###allow.net
- DNS ASK fi###arth.net
- DNS ASK pl###allow.net
- DNS ASK fi###llow.net
- DNS ASK pl###taste.net
- DNS ASK fi###aste.net
- DNS ASK pl###earth.net
- DNS ASK yo###aste.net
- DNS ASK tr###earth.net
- DNS ASK yo###arth.net
- DNS ASK wa###uess.net
- DNS ASK ta###uess.net
- DNS ASK tr###taste.net
- DNS ASK yo###ives.net
- DNS ASK lr###taste.net
- DNS ASK vi###aste.net
- DNS ASK tr###allow.net
- DNS ASK yo###llow.net
- DNS ASK tr###gives.net
- DNS ASK pl###gives.net
- DNS ASK to###ives.net
- DNS ASK fa###ives.net
- DNS ASK we###aste.net
- DNS ASK fa###arth.net
- DNS ASK to###llow.net
- DNS ASK fa###llow.net
- DNS ASK we###llow.net
- DNS ASK ve###llow.net
- DNS ASK we###ives.net
- DNS ASK ve###aste.net
- DNS ASK we###arth.net
- DNS ASK ve###arth.net
- DNS ASK se###earth.net
- DNS ASK le###earth.net
- DNS ASK se###allow.net
- DNS ASK fi###ives.net
- DNS ASK se###taste.net
- DNS ASK le###taste.net
- DNS ASK to###aste.net
- DNS ASK fa###aste.net
- DNS ASK to###arth.net
- DNS ASK le###allow.net
- DNS ASK se###gives.net
- DNS ASK le###gives.net
- DNS ASK ta###irst.net
- DNS ASK se###first.net
- DNS ASK le###first.net
- DNS ASK se###guess.net
- DNS ASK ji###lasker.com
- DNS ASK se###kill.net
- DNS ASK le###kill.net
- DNS ASK to###ill.net
- DNS ASK fa###ill.net
- DNS ASK to###irst.net
- DNS ASK le###guess.net
- DNS ASK to###tood.net
- DNS ASK fa###tood.net
- DNS ASK gl###health.net
- DNS ASK ne####arydress.net
- DNS ASK re####erpaint.net
- DNS ASK ta###fruit.net
- DNS ASK mi####lossary.net
- DNS ASK ge####friend.net
- DNS ASK sp###marry.net
- DNS ASK up###oud.net
- DNS ASK wr###threw.net
- DNS ASK li####appear.net
- DNS ASK th####hcountry.net
- DNS ASK fr###ride.net
- DNS ASK pi###first.net
- DNS ASK mu###irst.net
- DNS ASK pi###guess.net
- DNS ASK mu###tood.net
- DNS ASK pi###kill.net
- DNS ASK mu###ill.net
- DNS ASK wa###ill.net
- DNS ASK ta###ill.net
- DNS ASK wa###irst.net
- DNS ASK mu###uess.net
- DNS ASK wa###tood.net
- DNS ASK ta###tood.net
- DNS ASK we###tood.net
- DNS ASK ve###tood.net
- DNS ASK we###ill.net
- DNS ASK fa###irst.net
- DNS ASK to###uess.net
- DNS ASK fa###uess.net
- DNS ASK we###uess.net
- DNS ASK ve###uess.net
- DNS ASK pi###stood.net
- DNS ASK ve###ill.net
- DNS ASK we###irst.net
- DNS ASK ve###irst.net
- '23#.#55.255.250':1900
