Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\irmon] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\Ias] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\setup_03-14.exe'
- 'C:\Лў№·Бёbug.exe'
- 'C:\Server.exe'
Запускает на исполнение:
- '<SYSTEM32>\notepad.exe' C:\Лў№·Бёbug.txt
- '<SYSTEM32>\svchost.exe' -k neTsvcs
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\itzoxm
- <Текущая директория>\Ias
- <Текущая директория>\lnmtoldujx
- <SYSTEM32>\ujabbctuun
- %TEMP%\lpmnfpoyuh.log
- C:\Лў№·Бёbug.exe
- C:\Server.exe
- %TEMP%\lbgnlkap.tmp
- C:\setup_03-14.exe
- C:\Лў№·Бёbug.txt
Удаляет следующие файлы:
- <SYSTEM32>\ujabbctuun
- <SYSTEM32>\config\SecEvent.Evt
- C:\setup_03-14.exe
- <SYSTEM32>\config\SysEvent.Evt
- C:\Server.exe
- <Текущая директория>\Ias
- <SYSTEM32>\config\AppEvent.Evt
- <Текущая директория>\lnmtoldujx
Перемещает следующие файлы:
- %TEMP%\lpmnfpoyuh.log в %PROGRAM_FILES%\NetMeeting\knfew.lib
- %TEMP%\lbgnlkap.tmp в %PROGRAM_FILES%\Internet Explorer\dyfsv.exe
Сетевая активность:
Подключается к:
- 'mc###8.3322.org':308
- 'qw##.3322.org':8000
UDP:
- DNS ASK mc###8.3322.org
- DNS ASK qw##.3322.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
Добавляет корневой сертификат
