Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{55371830-F4A3-94D4-ABF9-9D5461A26532}] 'StubPath' = 'mqsvc32.exe'
Вредоносные функции:
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Installer\b887ee.msi
- <SYSTEM32>\mqsvc32.exe
- %HOMEPATH%\Cookies\index32.dat
- <SYSTEM32>\dllcache\b1377ux.sys
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\mqsvc32.exe
- %WINDIR%\Installer\b887ee.msi
- <SYSTEM32>\dllcache\b1377ux.sys
Удаляет следующие файлы:
- %HOMEPATH%\Cookies\index32.dat
Сетевая активность:
Подключается к:
- 'www.ve###cupid.net':80
- 'my##.#ervegame.com':80
- 'www.pe####eeaster.net':80
TCP:
Запросы HTTP GET:
- www.ve###cupid.net/1.php?id########################################################################################
- my##.#ervegame.com/1.php?id########################################################################################
- www.pe####eeaster.net/1.php?id########################################################################################
UDP:
- DNS ASK www.ve###cupid.net
- DNS ASK my##.#ervegame.com
- DNS ASK www.pe####eeaster.net
