Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'SQ Platform' = '%TEMP%\services_8004.exe ?(?3?)? ?,??????'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\YQAQTYBG] 'ImagePath' = '<DRIVERS>\YQAQTYBG.sys'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\·гмбЎ¤ЎоЎп-·гТ¶_±©З№УўРЫДЪЗ¶ґ°їЪ.exe'
- '%TEMP%\services_8004.exe'
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtReadVirtualMemory, драйвер-обработчик: YQAQTYBG.sys
- NtWriteVirtualMemory, драйвер-обработчик: YQAQTYBG.sys
- NtOpenProcess, драйвер-обработчик: YQAQTYBG.sys
- NtQuerySystemInformation, драйвер-обработчик: mydri.sys
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\·гмбЎ¤ЎоЎп-·гТ¶_±©З№УўРЫДЪЗ¶ґ°їЪ.exe
- %HOMEPATH%\Desktop\Лж±гїґїґ.lnk
- %TEMP%\services_8004.exe
- <SYSTEM32>\mydri.sys
- <DRIVERS>\YQAQTYBG.sys
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\mydri.sys
Удаляет следующие файлы:
- <DRIVERS>\YQAQTYBG.sys
Сетевая активность:
Подключается к:
- 'any':5555
- 'www.ke##pan.com':80
TCP:
Запросы HTTP GET:
- www.ke##pan.com/space_fenghuo_5723.html
UDP:
- DNS ASK k2.##kudown.com
- DNS ASK k3.##kudown.com
- DNS ASK k4.##kudown.com
- DNS ASK k1.##kudown.com
- DNS ASK www.ke##pan.com
- DNS ASK k.###udown.com
- DNS ASK pa#.#aidu.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
