Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'XXXXXX71995912' = '%WINDIR%\XXXXXX71995912\svchsot.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelps32] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\WinsHelsp32] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelp329] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\Temp\aa.exe
- <SYSTEM32>\WinsHelps32.exe
- <SYSTEM32>\WinHelps32.exe
- <SYSTEM32>\WinHelp32.exe
- %WINDIR%\Temp\dd.exe
- %WINDIR%\Temp\cc.exe
- %WINDIR%\Temp\bb.exe
Запускает на исполнение:
- <SYSTEM32>\svchost.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\WinsHelps32.exe
- <SYSTEM32>\WinHelp32.exe
- <SYSTEM32>\WinHelps32.exe
- %WINDIR%\XXXXXX71995912\svchsot.exe
- %WINDIR%\Temp\bb.exe
- %WINDIR%\Temp\aa.exe
- %WINDIR%\Temp\dd.exe
- %WINDIR%\Temp\cc.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\WinHelps32.exe
- <SYSTEM32>\WinsHelps32.exe
- <SYSTEM32>\WinHelp32.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\aa.exe
- %WINDIR%\Temp\bb.exe
- %WINDIR%\Temp\cc.exe
Сетевая активность:
Подключается к:
- 'any':8888
- 'www.xi###ijia.com':7777
- 'any':7777
- 'any':9999
- 'www.18###our.com':8888
- 'www.81###966.com':7171
- 'www.wk##88.com':7171
- 'www.ak##139.com':9999
- 'www.sn##13.com':7171
UDP:
- DNS ASK www.ak##139.com
- DNS ASK www.18###our.com
- DNS ASK www.xi###ijia.com
- DNS ASK www.wk##88.com
- DNS ASK www.81###966.com
- DNS ASK www.sn##13.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: '??????????????'
