Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\SA.DAT
Подменяет следующие исполняемые системные файлы:
- <DRIVERS>\kbdclass.sys файлом <DRIVERS>\classlan.txt
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\info.bat
- %WINDIR%\info.bat (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\k.bat
- <SYSTEM32>\ping.exe 127.0.0.1 -2
- <SYSTEM32>\ntsd.exe -c q -p 1116
- <SYSTEM32>\svchost.exe -k netsvcs
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\classlan.txt
- <SYSTEM32>\browsewn.dll
- <Текущая директория>\k.bat
- <SYSTEM32>\dllcache\classlan.txt
- <SYSTEM32>\fecllent.dll
- %WINDIR%\browsewn.dll
- %WINDIR%\info.bat
- %WINDIR%\classlan.txt
- %WINDIR%\fecllent.dll
Удаляет следующие файлы:
- %WINDIR%\fecllent.dll
- %WINDIR%\info.bat
- %WINDIR%\classlan.txt
- <SYSTEM32>\cryptsvc.dll
- <DRIVERS>\kbdclass.sys
- %WINDIR%\browsewn.dll
Сетевая активность:
Подключается к:
- '7y###.91zc.com':21
- 'www.go##g88.cn':80
- 'do##.youkum.cn':80
TCP:
Запросы HTTP GET:
- do##.youkum.cn/svchost/classlan.txt
- www.go##g88.cn/Cat/Mac.aspx?MA###########################################################################################
- do##.youkum.cn/svchost/fecllent.dll
- do##.youkum.cn/svchost/info.txt
- do##.youkum.cn/svchost/browsewn.dll
UDP:
- DNS ASK www.go##g88.cn
- DNS ASK 7y###.91zc.com
- DNS ASK do##.youkum.cn
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
- ClassName: 'Button' WindowName: '?????????????????'
- ClassName: '#32770' WindowName: '????????????????????'
- ClassName: '' WindowName: '?????????????'
