Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /x'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /k'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /j'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /O'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /p'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /c'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /M'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /W'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /e'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /I'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /l'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /U'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /Z'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /T'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /s'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /q'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /a'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /r'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /D'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /F'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /Y'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /V'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /H'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /n'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /g'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'puted' = '%HOMEPATH%\puted.exe /b'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Passwords.exe
- <Имя диска съемного носителя>:\RCX5.tmp
- <Имя диска съемного носителя>:\RCX4.tmp
- <Имя диска съемного носителя>:\RCX8.tmp
- <Имя диска съемного носителя>:\RCX7.tmp
- <Имя диска съемного носителя>:\RCX6.tmp
- <Имя диска съемного носителя>:\Secret.exe
- <Имя диска съемного носителя>:\puted.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Porn.exe
- <Имя диска съемного носителя>:\RCX3.tmp
- <Имя диска съемного носителя>:\Sexy.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\winlogon.exe' = '<SYSTEM32>\winlogon.exe:*:enabled:@shell32.dll,-1'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение:
- '%HOMEPATH%\puted.exe'
- '%TEMP%\svchost.exe'
- '%TEMP%\PVR.exe'
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\cvtres.exe' /NOLOGO /READONLY /MACHINE:IX86 "/OUT:%TEMP%\RES2.tmp" "%TEMP%\vbc1.tmp"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /noconfig @"%TEMP%\pwtptzc_.cmdline"
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\vbc1.tmp
- %TEMP%\pwtptzc_.out
- %TEMP%\pwtptzc_.cmdline
- %HOMEPATH%\puted.exe
- %TEMP%\pwtptzc_.exe
- %TEMP%\RES2.tmp
- %TEMP%\svchost.exe
- %TEMP%\PVR.exe
- %TEMP%\EFbKzM.resources
- %TEMP%\pwtptzc_.0.vb
- %TEMP%\MSNPSharp.dll
- %TEMP%\keI27NBWQ.resources
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\puted.exe
- <Имя диска съемного носителя>:\autorun.inf
- %HOMEPATH%\puted.exe
Удаляет следующие файлы:
- <Имя диска съемного носителя>:\Sexy.exe
- %TEMP%\pwtptzc_.out
- <Имя диска съемного носителя>:\Passwords.exe
- <Имя диска съемного носителя>:\Porn.exe
- %TEMP%\pwtptzc_.exe
- %TEMP%\vbc1.tmp
- %TEMP%\RES2.tmp
- %TEMP%\pwtptzc_.0.vb
- %TEMP%\pwtptzc_.cmdline
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'ns#.###nsearcher.net':8000
- 'ir#.zief.pl':65520
UDP:
- DNS ASK ns#.###nsearcher.net
- DNS ASK ir#.zief.pl
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
