Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Please Input Service Name] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\Delete.exe
- C:\БѕЗХёЕЕ©·О[1АОАЪ].exe
- C:\ЅЗЗаЗПёй ЅГАЫ.exe
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k imgsvc
- <SYSTEM32>\svchost.exe -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- C:\Net-Temp.ini
- C:\NT_Path.old
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\patcher.xe[1]
- %WINDIR%\FileName.jpg
- %WINDIR%\temp2983500.dll
- C:\БѕЗХёЕЕ©·О[1АОАЪ].exe
- C:\ЅЗЗаЗПёй ЅГАЫ.exe
- <Текущая директория>\Delete.exe
- <Текущая директория>\123.txt
Удаляет следующие файлы:
- C:\ЅЗЗаЗПёй ЅГАЫ.exe
- %WINDIR%\temp2983500.dll
- C:\NT_Path.old
- <Текущая директория>\123.txt
- C:\Net-Temp.ini
Сетевая активность:
Подключается к:
- 'pa###er.xe.to':80
- 'sd####4.codns.com':8080
- 'wi####.dothome.co.kr':80
- 'localhost':1038
TCP:
Запросы HTTP GET:
- pa###er.xe.to/
- wi####.dothome.co.kr/bbs/view.php?id########################################################################################################################
UDP:
- DNS ASK sd####4.codns.com
- DNS ASK pa###er.xe.to
- DNS ASK wi####.dothome.co.kr
Другое:
Ищет следующие окна:
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'AutoHotkey' WindowName: 'C:\??????????[1????].exe'
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'AutoHotkey' WindowName: '<Текущая директория>\Delete.exe'
