Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:<Имя вируса>.exe'
Запускает на исполнение:
- <SYSTEM32>\sc.exe config UI0Detect start= disabled
- <SYSTEM32>\sc.exe stop UI0Detect
- <SYSTEM32>\cmd.exe /c %TEMP%\_tmp75.bat
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\_tmp75.bat
Сетевая активность:
UDP:
- DNS ASK c1.##d3322.com
- DNS ASK we#.##oye123.net
- DNS ASK ma##.#td3322.com
- DNS ASK s.##.ivc.cn
- 'we#.##oye123.net':8899
- 's.##.ivc.cn':4475
- 'ma##.#td3322.com':7788
Другое:
Ищет следующие окна:
- ClassName: 'XFrame_Wnd' WindowName: ''
- ClassName: 'Maxthon2_View' WindowName: ''
- ClassName: 'Container' WindowName: ''
- ClassName: 'TT_WebCtrl' WindowName: ''
- ClassName: 'TCnNuoIEBrowser' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
- ClassName: 'SE_AxControl' WindowName: ''
