Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\InstallRite File\Shell\Open\Command] '' = '%WINDIR%\hello.exe %1'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\AM] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\pi.exe'
- '%WINDIR%\hello.exe'
Запускает на исполнение:
- '<SYSTEM32>\sc.exe' description AM "360rd"
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\sc.exe' CREATE AM binPath= "%WINDIR%\svhost.exe" START= auto DISPLAYNAME= "AM" TYPE= own
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\ex.bat
- '<SYSTEM32>\cmd.exe' /c <Текущая директория>\pi.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\41\Filelist.lst
- %TEMP%\41\delfile.lst
- %TEMP%\41\ver.txt
- <SYSTEM32>:hello.exe
- %TEMP%\41\delreg.lst
- %TEMP%\41\iwt_registry.reg
- C:\f.cer
- C:\s.cer
- %TEMP%\41\kit.opt
- %WINDIR%\ex.bat
- <Текущая директория>\РЮёДЧФЙнMD5єуµДОДјю.exe
- %WINDIR%\hello.exe
- %WINDIR%\svhost.exe
- <Текущая директория>\pi2.exe
- <Текущая директория>\pi.bat
- <Текущая директория>\btkfk.bat
- %WINDIR%\pi.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\svhost.exe
Удаляет следующие файлы:
- %TEMP%\41\delreg.lst
- %TEMP%\41\delfile.lst
- %TEMP%\41\iwt_registry.reg
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
- %TEMP%\41\ver.txt
- %TEMP%\41\kit.opt
- %WINDIR%\pi.exe
- <Текущая директория>\pi2.exe
- %TEMP%\41\Filelist.lst
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ch##.9966.org':9014
UDP:
- DNS ASK ch##.9966.org
