Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'TPM CNG AutoConfig Adapter' = '<SYSTEM32>\trubpkgdbmg.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Secure Program Proxy Call Endpoint Drive Config] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\lrglalb.exe' "<SYSTEM32>\trubpkgdbmg.exe"
- '%WINDIR%\Temp\zpuofi2t0aptyx.exe' -r 50800 tcp
- '%TEMP%\zpuofi2psuptyxztwbvmr.exe'
- '<SYSTEM32>\trubpkgdbmg.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\crgnbdsiktxj\run
- <SYSTEM32>\crgnbdsiktxj\rng
- %WINDIR%\Temp\zpuofi2t0aptyx.exe
- <SYSTEM32>\crgnbdsiktxj\cfg
- <SYSTEM32>\lrglalb.exe
- %TEMP%\zpuofi2psuptyxztwbvmr.exe
- <SYSTEM32>\crgnbdsiktxj\tst
- <SYSTEM32>\trubpkgdbmg.exe
- <SYSTEM32>\crgnbdsiktxj\etc
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\lrglalb.exe
- <SYSTEM32>\trubpkgdbmg.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\zpuofi2t0aptyx.exe
- %TEMP%\zpuofi2psuptyxztwbvmr.exe
- <DRIVERS>\etc\hosts
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'to###ord.net':80
- 'fa###ord.net':80
- 'to###ouch.net':80
- 'fa###ouch.net':80
- 'we###gree.net':80
- 've###gree.net':80
- 'we###orm.net':80
- 've###orm.net':80
- 'fa###gree.net':80
- 'le###touch.net':80
- 'se###word.net':80
- 'le###agree.net':80
- 'se###touch.net':80
- 'fa###orm.net':80
- 'to###gree.net':80
- 'le###word.net':80
- 'to###orm.net':80
- 'we###ouch.net':80
- 'wa###orm.net':80
- 'ta###orm.net':80
- 'pi###word.net':80
- 'mu###ord.net':80
- 'wa###ouch.net':80
- 'ta###ouch.net':80
- 'wa###gree.net':80
- 'ta###gree.net':80
- 'mu###ouch.net':80
- 've###ord.net':80
- 'pi###form.net':80
- 've###ouch.net':80
- 'we###ord.net':80
- 'mu###gree.net':80
- 'pi###touch.net':80
- 'mu###orm.net':80
- 'pi###agree.net':80
- 'se###agree.net':80
- 'tr###agree.net':80
- 'yo###gree.net':80
- 'tr###form.net':80
- 'yo###orm.net':80
- 'tr###word.net':80
- 'yo###ord.net':80
- 'tr###touch.net':80
- 'yo###ouch.net':80
- 'ta###lack.net':80
- 'en###dont.net':80
- 'se###mall.net':80
- 'so###blood.net':80
- 'sa###econd.net':80
- 'ta###rown.net':80
- 'wa###lack.net':80
- 'wh###reply.net':80
- 'wa###rown.net':80
- 'lr###form.net':80
- 'pl###touch.net':80
- 'fi###ouch.net':80
- 'pl###agree.net':80
- 'fi###gree.net':80
- 'se###form.net':80
- 'le###form.net':80
- 'pl###word.net':80
- 'fi###ord.net':80
- 'fi###orm.net':80
- 'vi###gree.net':80
- 'lr###touch.net':80
- 'vi###orm.net':80
- 'lr###agree.net':80
- 'vi###ord.net':80
- 'pl###form.net':80
- 'vi###ouch.net':80
- 'lr###word.net':80
TCP:
Запросы HTTP GET:
- to###ord.net/index.php?me#########################################
- fa###ord.net/index.php?me#########################################
- to###ouch.net/index.php?me#########################################
- fa###ouch.net/index.php?me#########################################
- we###gree.net/index.php?me#########################################
- ve###gree.net/index.php?me#########################################
- we###orm.net/index.php?me#########################################
- ve###orm.net/index.php?me#########################################
- fa###gree.net/index.php?me#########################################
- le###touch.net/index.php?me#########################################
- se###word.net/index.php?me#########################################
- le###agree.net/index.php?me#########################################
- se###touch.net/index.php?me#########################################
- fa###orm.net/index.php?me#########################################
- to###gree.net/index.php?me#########################################
- le###word.net/index.php?me#########################################
- to###orm.net/index.php?me#########################################
- we###ouch.net/index.php?me#########################################
- wa###orm.net/index.php?me#########################################
- ta###orm.net/index.php?me#########################################
- pi###word.net/index.php?me#########################################
- mu###ord.net/index.php?me#########################################
- wa###ouch.net/index.php?me#########################################
- ta###ouch.net/index.php?me#########################################
- wa###gree.net/index.php?me#########################################
- ta###gree.net/index.php?me#########################################
- mu###ouch.net/index.php?me#########################################
- ve###ord.net/index.php?me#########################################
- pi###form.net/index.php?me#########################################
- ve###ouch.net/index.php?me#########################################
- we###ord.net/index.php?me#########################################
- mu###gree.net/index.php?me#########################################
- pi###touch.net/index.php?me#########################################
- mu###orm.net/index.php?me#########################################
- pi###agree.net/index.php?me#########################################
- se###agree.net/index.php?me#########################################
- tr###agree.net/index.php?me#########################################
- yo###gree.net/index.php?me#########################################
- tr###form.net/index.php?me#########################################
- yo###orm.net/index.php?me#########################################
- tr###word.net/index.php?me#########################################
- yo###ord.net/index.php?me#########################################
- tr###touch.net/index.php?me#########################################
- yo###ouch.net/index.php?me#########################################
- ta###lack.net/index.php?me#########################################
- en###dont.net/index.php?me#########################################
- se###mall.net/index.php?me#########################################
- so###blood.net/index.php?me#########################################
- sa###econd.net/index.php?me#########################################
- ta###rown.net/index.php?me#########################################
- wa###lack.net/index.php?me#########################################
- wh###reply.net/index.php?me#########################################
- wa###rown.net/index.php?me#########################################
- lr###form.net/index.php?me#########################################
- pl###touch.net/index.php?me#########################################
- fi###ouch.net/index.php?me#########################################
- pl###agree.net/index.php?me#########################################
- fi###gree.net/index.php?me#########################################
- se###form.net/index.php?me#########################################
- le###form.net/index.php?me#########################################
- pl###word.net/index.php?me#########################################
- fi###ord.net/index.php?me#########################################
- fi###orm.net/index.php?me#########################################
- vi###gree.net/index.php?me#########################################
- lr###touch.net/index.php?me#########################################
- vi###orm.net/index.php?me#########################################
- lr###agree.net/index.php?me#########################################
- vi###ord.net/index.php?me#########################################
- pl###form.net/index.php?me#########################################
- vi###ouch.net/index.php?me#########################################
- lr###word.net/index.php?me#########################################
UDP:
- DNS ASK to###ord.net
- DNS ASK fa###ord.net
- DNS ASK to###ouch.net
- DNS ASK fa###ouch.net
- DNS ASK we###orm.net
- DNS ASK ve###gree.net
- DNS ASK we###ouch.net
- DNS ASK ve###orm.net
- DNS ASK we###gree.net
- DNS ASK le###touch.net
- DNS ASK se###word.net
- DNS ASK le###agree.net
- DNS ASK se###touch.net
- DNS ASK le###word.net
- DNS ASK to###gree.net
- DNS ASK fa###gree.net
- DNS ASK to###orm.net
- DNS ASK fa###orm.net
- DNS ASK wa###orm.net
- DNS ASK ta###orm.net
- DNS ASK pi###word.net
- DNS ASK mu###ord.net
- DNS ASK wa###gree.net
- DNS ASK ta###ouch.net
- DNS ASK wa###ord.net
- DNS ASK ta###gree.net
- DNS ASK wa###ouch.net
- DNS ASK ve###ord.net
- DNS ASK pi###form.net
- DNS ASK ve###ouch.net
- DNS ASK we###ord.net
- DNS ASK mu###orm.net
- DNS ASK pi###touch.net
- DNS ASK mu###ouch.net
- DNS ASK pi###agree.net
- DNS ASK mu###gree.net
- DNS ASK se###agree.net
- DNS ASK tr###agree.net
- DNS ASK yo###gree.net
- DNS ASK tr###form.net
- DNS ASK yo###orm.net
- DNS ASK tr###word.net
- DNS ASK yo###ord.net
- DNS ASK tr###touch.net
- DNS ASK yo###ouch.net
- DNS ASK ta###lack.net
- DNS ASK en###dont.net
- DNS ASK se###mall.net
- DNS ASK so###blood.net
- DNS ASK sa###econd.net
- DNS ASK ta###rown.net
- DNS ASK wa###lack.net
- DNS ASK wh###reply.net
- DNS ASK wa###rown.net
- DNS ASK lr###form.net
- DNS ASK pl###touch.net
- DNS ASK fi###ouch.net
- DNS ASK pl###agree.net
- DNS ASK fi###gree.net
- DNS ASK se###form.net
- DNS ASK le###form.net
- DNS ASK pl###word.net
- DNS ASK fi###ord.net
- DNS ASK fi###orm.net
- DNS ASK vi###gree.net
- DNS ASK lr###touch.net
- DNS ASK vi###orm.net
- DNS ASK lr###agree.net
- DNS ASK vi###ord.net
- DNS ASK pl###form.net
- DNS ASK vi###ouch.net
- DNS ASK lr###word.net
- '23#.#55.255.250':1900
