Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'UserInit' = '<SYSTEM32>\userinit.exe,C:\DOCUME~1\%USERNAME%\LOCALS~1\Temp\MSDCSC\msdcsc.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'MicroUpdate' = '%TEMP%\MSDCSC\msdcsc.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%TEMP%\MSDCSC\msdcsc.exe'
- '%TEMP%\cetrainers\CET1.tmp\MEGACHEAT_V4._5.EXE' -ORIGIN:"%TEMP%\"
- '%TEMP%\WebBrowserPassView1.exe' /stext %TEMP%\WebBrowserPassView1.txt
- '%TEMP%\MEGACHEAT_V4._5.EXE'
- '%TEMP%\WebBrowserPassView3.exe' /stext %TEMP%\WebBrowserPassView3.txt
- '%TEMP%\WebBrowserPassView4.exe' /stext %TEMP%\WebBrowserPassView4.txt
- '%TEMP%\WebBrowserPassView2.exe' /stext %TEMP%\WebBrowserPassView2.txt
- '%TEMP%\cetrainers\CET1.tmp\extracted\MEGACHEAT_V4._5.EXE' "%TEMP%\cetrainers\CET1.tmp\extracted\CET_TRAINER.CETRAINER" "-ORIGIN:%TEMP%\"
- '%TEMP%\Kopatel.exe'
- '%TEMP%\.exe'
- '%TEMP%\zip.exe'
- '<Текущая директория>\Generator_Keys.sfx.exe' -p1234 -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\Generator_Keys.exe'
- '%TEMP%\KopatelHack.exe'
- '%TEMP%\Kopatel.sfx.exe' -p19992002 -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\Crime.exe'
- '%TEMP%\Generation_Keys.exe'
Запускает на исполнение:
- '<SYSTEM32>\notepad.exe'
- '<SYSTEM32>\attrib.exe' "%HOMEPATH%\Local Settings\Temp" +s +h
- '<SYSTEM32>\wbem\wmiadap.exe' /R /T
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\Gen_Keys.bat" "
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\KopatelHack.bat" "
- '<SYSTEM32>\attrib.exe' "%TEMP%\Kopatel.exe" +s +h
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\notepad.exe
Завершает или пытается завершить
следующие пользовательские процессы:
- ICQ.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\SOFTWARE\Valve\Steam]
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: ''
обнаружения различных программ и игр:
- ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\mime.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\ltn12.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\mime\core.dll
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket\http.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket\ftp.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\LuaScript.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\CET_TRAINER.CETRAINER
- %TEMP%\cetrainers\CET1.tmp\MEGACHEAT_V4._5.EXE
- %TEMP%\cetrainers\CET1.tmp\extracted\socket\core.dll
- %TEMP%\cetrainers\CET1.tmp\extracted\alien.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\alien_c.dll
- %TEMP%\WebBrowserPassView3.exe
- %TEMP%\cetrainers\CET1.tmp\extracted\win32\dbghelp.dll
- %TEMP%\cetrainers\CET1.tmp\extracted\lua5.1-32.dll
- %TEMP%\WebBrowserPassView4.txt
- %TEMP%\WebBrowserPassView4.exe
- %TEMP%\WebBrowserPassView3.txt
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket\url.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket\tp.lua
- %TEMP%\cetrainers\CET1.tmp\extracted\lua\socket\smtp.lua
- %TEMP%\WebBrowserPassView2.exe
- %TEMP%\cetrainers\CET1.tmp\extracted\MEGACHEAT_V4._5.EXE
- %TEMP%\cetrainers\CET1.tmp\extracted\defines.lua
- %TEMP%\cetrainers\CET1.tmp\CET_Archive.dat
- %TEMP%\PSE11\php\php5ts.dll
- %TEMP%\KopatelHack.exe
- %TEMP%\Generation_Keys.exe
- %TEMP%\PSE11\php\modules\php_bz2.dll
- %TEMP%\PSE11\php\modules\php_bcompiler.dll
- %TEMP%\PSE11\B306E2A66F320D40D97F30ADABD48BC2\php.ini
- %TEMP%\Generator_Keys.exe
- <Текущая директория>\Generator_Keys.sfx.exe
- <Текущая директория>\Gen_Keys.bat
- %TEMP%\Crime.exe
- %TEMP%\zip.exe
- %TEMP%\.exe
- %TEMP%\MSDCSC\msdcsc.exe
- %APPDATA%\CRNJEUFU - 775.txt
- %TEMP%\Kopatel.exe
- %TEMP%\MEGACHEAT_V4._5.EXE
- %TEMP%\WebBrowserPassView1.txt
- %TEMP%\WebBrowserPassView1.exe
- %TEMP%\Kopatel.sfx.exe
- %TEMP%\53400013.~ph
- %TEMP%\KopatelHack.bat
- %TEMP%\devels\b306e2a66f320d40d97f30adabd48bc2.phpe2
- %TEMP%\devels\b306e2a66f320d40d97f30adabd48bc2\include.php
- %TEMP%\devels\b306e2a66f320d40d97f30adabd48bc2\engine.php
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\Kopatel.exe
- %TEMP%\MSDCSC\msdcsc.exe
Удаляет следующие файлы:
- %TEMP%\53400013.~ph
- %TEMP%\PSE11\B306E2A66F320D40D97F30ADABD48BC2\php.ini
Сетевая активность:
Подключается к:
- 'wo####imeengine.com':80
- 'sm##.gmail.com':587
- 'da#####per1999.ddns.net':1604
- 'ft#.##taks.esy.es':21
- 'wp#d':80
TCP:
Запросы HTTP GET:
- wo####imeengine.com/function/sync
- wp#d/wpad.dat
UDP:
- DNS ASK wo####imeengine.com
- DNS ASK sm##.gmail.com
- DNS ASK da#####per1999.ddns.net
- DNS ASK ft#.##taks.esy.es
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: '#32770' WindowName: 'Generate_Key'
- ClassName: '#32770' WindowName: 'Lua Engine'
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'PROCEXPL' WindowName: ''
