Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,"<SYSTEM32>\clientmon.exe"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /sc onlogon /tn "windows.exe" /rl highest /tr "'\387245\windows.exe' /startup" /f
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp2.tmp
- C:\387245\windows.exe
- C:\18215fc6d83e4a0997cec6aa05a7bf32fc8cfd96
- %TEMP%\tmp4.tmp
- %TEMP%\tmp3.tmp
- <SYSTEM32>\clientmon.exe
- %TEMP%\tmp1.tmp
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\7396C420A8E1BC1DA97F1AF0D10BAD21
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\696F3DE637E6DE85B458996D49D759AD
- %APPDATA%\Microsoft\CryptnetUrlCache\MetaData\696F3DE637E6DE85B458996D49D759AD
- %TEMP%\432fggqdd.txt
- %TEMP%\4fggqdd.txt
- %APPDATA%\Microsoft\CryptnetUrlCache\Content\7396C420A8E1BC1DA97F1AF0D10BAD21
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\18215fc6d83e4a0997cec6aa05a7bf32fc8cfd96
- <Полный путь к вирусу>
Удаляет следующие файлы:
- %TEMP%\tmp2.tmp
- %TEMP%\tmp3.tmp
- %TEMP%\tmp4.tmp
- %TEMP%\432fggqdd.txt
- %TEMP%\4fggqdd.txt
- %TEMP%\tmp1.tmp
Подменяет следующие файлы:
- %TEMP%\432fggqdd.txt
- %TEMP%\4fggqdd.txt
Сетевая активность:
Подключается к:
- 'rs###p.ddns.net':1990
- '20#.#6.232.182':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://crl.microsoft.com/pki/crl/products/MicCodSigPCA_08-31-2010.crl via 20#.#6.232.182
- http://crl.microsoft.com/pki/crl/products/microsoftrootcert.crl via 20#.#6.232.182
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK rs###p.ddns.net
- DNS ASK crl.microsoft.com
- DNS ASK wp#d
