Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Gateway File IKE IP Disk Transfer Update' = 'C:\ksfywanwhk\zhxusghqxv.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\CardSpace AuthIP Publication Audio DNS] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\ksfywanwhk\xwghxryaelga.exe' "c:\ksfywanwhk\zhxusghqxv.exe"
- 'C:\ksfywanwhk\zhxusghqxv.exe'
- 'C:\ksfywanwhk\if55ewhckc8lzuj.exe'
Изменения в файловой системе:
Создает следующие файлы:
- C:\ksfywanwhk\zhxusghqxv.exe
- C:\ksfywanwhk\xwghxryaelga.exe
- C:\ksfywanwhk\zqfpwfxeovvm
- %WINDIR%\ksfywanwhk\ivjiqtjjwu
- C:\ksfywanwhk\ivjiqtjjwu
- C:\ksfywanwhk\if55ewhckc8lzuj.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ksfywanwhk\xwghxryaelga.exe
- C:\ksfywanwhk\zhxusghqxv.exe
Удаляет следующие файлы:
- C:\ksfywanwhk\if55ewhckc8lzuj.exe
- %WINDIR%\ksfywanwhk\ivjiqtjjwu
Сетевая активность:
Подключается к:
- 'fo###tbuilt.net':80
- 'in####sebuilt.net':80
- 'fo####father.net':80
- 'in####seapple.net':80
TCP:
Запросы HTTP GET:
- http://fo###tbuilt.net/index.php?me########
- http://in####sebuilt.net/index.php?me########
- http://fo####father.net/index.php?me########
- http://in####seapple.net/index.php?me########
UDP:
- DNS ASK fo###tcarry.net
- DNS ASK in####sebuilt.net
- DNS ASK wo###father.net
- DNS ASK in####secarry.net
- DNS ASK fo###tbuilt.net
- DNS ASK in####sefather.net
- DNS ASK fo####father.net
- DNS ASK in####seapple.net
- DNS ASK fo###tapple.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
