Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- '%TEMP%\1.tmp\setup.exe'
- 'C:\winsvc.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' +s +h C:\wsvc.cfg
- '<SYSTEM32>\attrib.exe' +s +h C:\winsvc.exe
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\CurrentVersion\Run /v winsvc /t REG_SZ /d C:\LUA.bat /f
- '<SYSTEM32>\attrib.exe' +h +s C:\LUA.bat
- '<SYSTEM32>\reg.exe' add HKCU\SOFTWARE\Microsoft\CurrentVersion\Run /v winsvc /t REG_SZ /d C:\LUA.bat /f
- '<SYSTEM32>\taskkill.exe' /f /im winsvc.exe /t
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\694831242.bat" <Текущая директория>\"
- '<SYSTEM32>\reg.exe' ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- '<SYSTEM32>\reg.exe' add HKCU\SOFTWARE\Microsoft\CurrentVersion\Run /v winsvc /t REG_SZ /d C:\winsvc.exe /f
- '<SYSTEM32>\reg.exe' add HKLM\SOFTWARE\Microsoft\CurrentVersion\Run /v winsvc /t REG_SZ /d C:\winsvc.exe /f
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'ollydbg' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- C:\winsvc.exe
- C:\wsvc.cfg
- C:\LUA.bat
- %TEMP%\1.tmp\694831242.bat
- %TEMP%\1.tmp\setup.exe
- %TEMP%\1.tmp\winsvc.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\LUA.bat
- C:\wsvc.cfg
- C:\winsvc.exe
Удаляет следующие файлы:
- %TEMP%\1.tmp\694831242.bat
Сетевая активность:
Подключается к:
- 'lo###.icq.com':5190
UDP:
- DNS ASK lo###.icq.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
