Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\6to4] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\iprip] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iprip\Parameters /v ServiceDll /t REG_EXPAND_SZ /d <SYSTEM32>\Sogou.cfg /f
- <SYSTEM32>\reg.exe add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iprip\Parameters /v ServiceDllUnloadOnStop /t REG_DWORD /d 0 /f
- <SYSTEM32>\sc.exe description iprip "└√╙├┐╒╧╨╡─═°┬ч┤°┐э╘┌║є╠и┤л╩ф╬─╝■бг╚ч╣√╖■╬ё▒╗═г╙├гм└¤╚ч Windows Update ║═ MSN Explorer ╡─╣ж─▄╜л╬▐╖и╫╘╢п╧┬╘╪│╠╨Є║═╞ф╦√╨┼╧вбг╚ч╣√┤╦╖■╬ё▒╗╜√╙├гм╚╬║╬╥└└╡╦№╡─╖■╬ё╚ч╣√├╗╙╨╚▌┤э╝╝╩ї╥╘╓▒╜╙═и╣¤ IE ┤л╩ф╬─╝■гм╥╗╡й iprip ▒╗╜√╙├гм╛═┐╔─▄╬▐╖и┤л╩ф╬─╝■бг"
- <SYSTEM32>\cmd.exe /c %WINDIR%\bypass.bat
- <SYSTEM32>\sc.exe create iprip binpath= "<SYSTEM32>\svchost.exe -k netsvcs" type= share start= auto displayname= "Microsoft Device Manager"
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Sogou.cfg
- %TEMP%\195671_tep.dll
Перемещает следующие файлы:
- %TEMP%\195671_tep.dll в %WINDIR%\bypass.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- 'sh####odes.3322.org':80
UDP:
- DNS ASK ns#.#322.net
- DNS ASK sh####odes.3322.org
- DNS ASK ns#.#hina.com
