Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\MySQL4] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\MySQLPlus\crsas.exe
- %PROGRAM_FILES%\MySQLPlus\crsas.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c %WINDIR%\TEMP\mix.bat
- %WINDIR%\regedit.exe /s mix.reg
- <SYSTEM32>\net1.exe start MySQL4
- <SYSTEM32>\rundll32.exe Mixload.dll,SRVDLLMAIN
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\MOE00UY1\mix[1].txt
- <SYSTEM32>\Mixmx.dll
- %WINDIR%\Temp\mix.bat
- %WINDIR%\Temp\mix.reg~tmp
- %PROGRAM_FILES%\MySQLPlus\crsas.exe~tmp
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\EXPL0RER[1].TXT
- <SYSTEM32>\Mixload.dll~tmp
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\LBMMC3H3\Mixload[1].txt
Перемещает следующие файлы:
- %WINDIR%\Temp\mix.reg~tmp в %WINDIR%\Temp\mix.reg
- <SYSTEM32>\Mixload.dll~tmp в <SYSTEM32>\Mixload.dll
- %PROGRAM_FILES%\MySQLPlus\crsas.exe~tmp в %PROGRAM_FILES%\MySQLPlus\crsas.exe
Сетевая активность:
Подключается к:
- 'ta####.lylwc.com':80
TCP:
Запросы HTTP GET:
- ta####.lylwc.com/mix.txt
- ta####.lylwc.com/mm_14282131_0_0/Updata/Mixload.txt
- ta####.lylwc.com/mm_14282131_0_0/Updata/EXPL0RER.TXT
UDP:
- DNS ASK ta####.lylwc.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: '' WindowName: 'Taobao_netking_DLL_2'
- ClassName: '' WindowName: 'Taobao_netking_master_1'
