Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Extender Launcher CardSpace Acquisition' = '<SYSTEM32>\tuvvjlwjo.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Authentication Group Foundation] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\jgmnfuwp.exe' "<SYSTEM32>\tuvvjlwjo.exe"
- '%WINDIR%\Temp\mbnrua2sjsol.exe' -r 40697 tcp
- '%TEMP%\mbnrua2nu3olorpkw0ga.exe'
- '<SYSTEM32>\tuvvjlwjo.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ozihxxbert\run
- <SYSTEM32>\ozihxxbert\rng
- %WINDIR%\Temp\mbnrua2sjsol.exe
- <SYSTEM32>\ozihxxbert\cfg
- <SYSTEM32>\jgmnfuwp.exe
- %TEMP%\mbnrua2nu3olorpkw0ga.exe
- <SYSTEM32>\ozihxxbert\tst
- <SYSTEM32>\tuvvjlwjo.exe
- <SYSTEM32>\ozihxxbert\etc
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\jgmnfuwp.exe
- <SYSTEM32>\tuvvjlwjo.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\mbnrua2sjsol.exe
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'fe###erve.net':80
- 'we###erve.net':80
- 'fe###ome.net':80
- 'we###ome.net':80
- 'ta###took.net':80
- 'le###ook.net':80
- 'ta###weight.net':80
- 'le###eight.net':80
- 'th###nerve.net':80
- 'li###erve.net':80
- 'th###come.net':80
- 'li###ome.net':80
- 'fe###ook.net':80
- 'we###ook.net':80
- 'fe###eight.net':80
- 'we###eight.net':80
- 'po###nerve.net':80
- 'ca###erve.net':80
- 'po###come.net':80
- 'ca###ome.net':80
- 'no###ome.net':80
- 'no###erve.net':80
- 'no###eight.net':80
- 'no###ook.net':80
- 'ta###nerve.net':80
- 'le###erve.net':80
- 'ta###come.net':80
- 'le###ome.net':80
- 'po###took.net':80
- 'ca###ook.net':80
- 'po###weight.net':80
- 'ca###eight.net':80
- 'li###ook.net':80
- 'no###llow.net':80
- 'we###ives.net':80
- 'no###arth.net':80
- 'we###llow.net':80
- 'fa###taste.net':80
- 'ri###arth.net':80
- 'no###ives.net':80
- 'ri###aste.net':80
- 'en###dont.net':80
- 'se###mall.net':80
- 'so###blood.net':80
- 'sa###econd.net':80
- 'no###aste.net':80
- 'we###arth.net':80
- 'wh###reply.net':80
- 'we###aste.net':80
- 'fi###come.net':80
- 'so###nerve.net':80
- 'fi###took.net':80
- 'so###come.net':80
- 'li###eight.net':80
- 'th###took.net':80
- 'fi###nerve.net':80
- 'th###weight.net':80
- 'fa###allow.net':80
- 'ri###ives.net':80
- 'fa###earth.net':80
- 'ri###llow.net':80
- 'fi###weight.net':80
- 'so###took.net':80
- 'fa###gives.net':80
- 'so###weight.net':80
TCP:
Запросы HTTP GET:
- fe###erve.net/index.php?me#########################################
- we###erve.net/index.php?me#########################################
- fe###ome.net/index.php?me#########################################
- we###ome.net/index.php?me#########################################
- ta###took.net/index.php?me#########################################
- le###ook.net/index.php?me#########################################
- ta###weight.net/index.php?me#########################################
- le###eight.net/index.php?me#########################################
- th###nerve.net/index.php?me#########################################
- li###erve.net/index.php?me#########################################
- th###come.net/index.php?me#########################################
- li###ome.net/index.php?me#########################################
- fe###ook.net/index.php?me#########################################
- we###ook.net/index.php?me#########################################
- fe###eight.net/index.php?me#########################################
- we###eight.net/index.php?me#########################################
- po###nerve.net/index.php?me#########################################
- ca###erve.net/index.php?me#########################################
- po###come.net/index.php?me#########################################
- ca###ome.net/index.php?me#########################################
- no###ome.net/index.php?me#########################################
- no###erve.net/index.php?me#########################################
- no###eight.net/index.php?me#########################################
- no###ook.net/index.php?me#########################################
- ta###nerve.net/index.php?me#########################################
- le###erve.net/index.php?me#########################################
- ta###come.net/index.php?me#########################################
- le###ome.net/index.php?me#########################################
- po###took.net/index.php?me#########################################
- ca###ook.net/index.php?me#########################################
- po###weight.net/index.php?me#########################################
- ca###eight.net/index.php?me#########################################
- li###ook.net/index.php?me#########################################
- no###llow.net/index.php?me#########################################
- we###ives.net/index.php?me#########################################
- no###arth.net/index.php?me#########################################
- we###llow.net/index.php?me#########################################
- fa###taste.net/index.php?me#########################################
- ri###arth.net/index.php?me#########################################
- no###ives.net/index.php?me#########################################
- ri###aste.net/index.php?me#########################################
- en###dont.net/index.php?me#########################################
- se###mall.net/index.php?me#########################################
- so###blood.net/index.php?me#########################################
- sa###econd.net/index.php?me#########################################
- no###aste.net/index.php?me#########################################
- we###arth.net/index.php?me#########################################
- wh###reply.net/index.php?me#########################################
- we###aste.net/index.php?me#########################################
- fi###come.net/index.php?me#########################################
- so###nerve.net/index.php?me#########################################
- fi###took.net/index.php?me#########################################
- so###come.net/index.php?me#########################################
- li###eight.net/index.php?me#########################################
- th###took.net/index.php?me#########################################
- fi###nerve.net/index.php?me#########################################
- th###weight.net/index.php?me#########################################
- fa###allow.net/index.php?me#########################################
- ri###ives.net/index.php?me#########################################
- fa###earth.net/index.php?me#########################################
- ri###llow.net/index.php?me#########################################
- fi###weight.net/index.php?me#########################################
- so###took.net/index.php?me#########################################
- fa###gives.net/index.php?me#########################################
- so###weight.net/index.php?me#########################################
UDP:
- DNS ASK we###ome.net
- DNS ASK fe###erve.net
- DNS ASK we###ook.net
- DNS ASK fe###ome.net
- DNS ASK le###eight.net
- DNS ASK ta###took.net
- DNS ASK we###erve.net
- DNS ASK ta###weight.net
- DNS ASK li###ome.net
- DNS ASK th###nerve.net
- DNS ASK li###ook.net
- DNS ASK th###come.net
- DNS ASK we###eight.net
- DNS ASK fe###ook.net
- DNS ASK li###erve.net
- DNS ASK fe###eight.net
- DNS ASK le###ook.net
- DNS ASK po###nerve.net
- DNS ASK ca###erve.net
- DNS ASK po###come.net
- DNS ASK ca###ome.net
- DNS ASK no###ome.net
- DNS ASK no###erve.net
- DNS ASK no###eight.net
- DNS ASK no###ook.net
- DNS ASK ta###nerve.net
- DNS ASK le###erve.net
- DNS ASK ta###come.net
- DNS ASK le###ome.net
- DNS ASK po###took.net
- DNS ASK ca###ook.net
- DNS ASK po###weight.net
- DNS ASK ca###eight.net
- DNS ASK no###llow.net
- DNS ASK we###ives.net
- DNS ASK no###arth.net
- DNS ASK we###llow.net
- DNS ASK fa###taste.net
- DNS ASK ri###arth.net
- DNS ASK no###ives.net
- DNS ASK ri###aste.net
- DNS ASK en###dont.net
- DNS ASK se###mall.net
- DNS ASK so###blood.net
- DNS ASK sa###econd.net
- DNS ASK no###aste.net
- DNS ASK we###arth.net
- DNS ASK wh###reply.net
- DNS ASK we###aste.net
- DNS ASK fi###come.net
- DNS ASK so###nerve.net
- DNS ASK fi###took.net
- DNS ASK so###come.net
- DNS ASK li###eight.net
- DNS ASK th###took.net
- DNS ASK fi###nerve.net
- DNS ASK th###weight.net
- DNS ASK fa###allow.net
- DNS ASK ri###ives.net
- DNS ASK fa###earth.net
- DNS ASK ri###llow.net
- DNS ASK fi###weight.net
- DNS ASK so###took.net
- DNS ASK fa###gives.net
- DNS ASK so###weight.net
- '23#.#55.255.250':1900
