Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '%APPDATA%\WindowsUpdate.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Sys.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holderwb.txt"
- '%WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe' /stext "%TEMP%\holdermail.txt"
- '%APPDATA%\Windows Update.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\csrss.exe
- %WINDIR%\Microsoft.NET\Framework\v2.0.50727\vbc.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\IdentityCRL]
- [<HKCU>\Software\Microsoft\MSNMessenger]
- [<HKCU>\Software\Microsoft\Internet Explorer\IntelliForms\Storage2]
- [<HKCU>\Software\Microsoft\Windows Live Mail]
- [<HKCU>\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Identities\{5518F2FB-DB74-45A3-BEC1-4575D8D9DC84}\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts]
- [<HKCU>\Identities\{5518F2FB-DB74-45A3-BEC1-4575D8D9DC84}\Software\Microsoft\Internet Account Manager\Accounts]
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp2B.tmp
- %TEMP%\tmp2C.tmp
- %TEMP%\tmp29.tmp
- %TEMP%\tmp2A.tmp
- %TEMP%\tmp2D.tmp
- %TEMP%\tmp2F.tmp
- %TEMP%\tmp30.tmp
- %TEMP%\holdermail.txt
- %TEMP%\tmp2E.tmp
- %TEMP%\tmp23.tmp
- %TEMP%\tmp24.tmp
- %TEMP%\tmp21.tmp
- %TEMP%\tmp22.tmp
- %TEMP%\tmp25.tmp
- %APPDATA%\WindowsUpdate.exe
- %TEMP%\tmp28.tmp
- %TEMP%\tmp26.tmp
- %TEMP%\tmp27.tmp
- %TEMP%\tmp31.tmp
- %TEMP%\tmp3D.tmp
- %TEMP%\tmp3E.tmp
- %TEMP%\tmp3B.tmp
- %TEMP%\tmp3C.tmp
- %TEMP%\tmp3F.tmp
- %TEMP%\holderwb.txt
- %WINDIR%\pchealth\ERRORREP\UserDumps\csrss.exe.20160909-000546-00.mdmp
- %TEMP%\tmp40.tmp
- %TEMP%\tmp41.tmp
- %TEMP%\tmp34.tmp
- %TEMP%\tmp35.tmp
- %TEMP%\tmp32.tmp
- %TEMP%\tmp33.tmp
- %TEMP%\tmp36.tmp
- %TEMP%\tmp39.tmp
- %TEMP%\tmp3A.tmp
- %TEMP%\tmp37.tmp
- %TEMP%\tmp38.tmp
- %TEMP%\tmp7.tmp
- %TEMP%\tmp8.tmp
- %TEMP%\tmp5.tmp
- %TEMP%\tmp6.tmp
- %TEMP%\tmp9.tmp
- %TEMP%\tmpC.tmp
- %TEMP%\tmpD.tmp
- %TEMP%\tmpA.tmp
- %TEMP%\tmpB.tmp
- %TEMP%\tmp2.tmp
- %TEMP%\SysInfo.txt
- %APPDATA%\data.bin
- %TEMP%\tmp1.tmp
- %APPDATA%\Windows Update.exe
- %APPDATA%\pid.txt
- %APPDATA%\pidloc.txt
- %TEMP%\tmp3.tmp
- %TEMP%\tmp4.tmp
- %TEMP%\tmpE.tmp
- %TEMP%\tmp1A.tmp
- %TEMP%\tmp1B.tmp
- %TEMP%\tmp18.tmp
- %TEMP%\tmp19.tmp
- %TEMP%\tmp1C.tmp
- %TEMP%\tmp1F.tmp
- %TEMP%\tmp20.tmp
- %TEMP%\tmp1D.tmp
- %TEMP%\tmp1E.tmp
- %TEMP%\tmp11.tmp
- %TEMP%\tmp12.tmp
- %TEMP%\tmpF.tmp
- %TEMP%\tmp10.tmp
- %TEMP%\tmp13.tmp
- %TEMP%\tmp16.tmp
- %TEMP%\tmp17.tmp
- %TEMP%\tmp14.tmp
- %TEMP%\tmp15.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\Sys.exe
- <Полный путь к вирусу>
- %APPDATA%\Windows Update.exe
Удаляет следующие файлы:
- %TEMP%\holderwb.txt
- %TEMP%\holdermail.txt
- %APPDATA%\data.bin
Подменяет следующие файлы:
- %APPDATA%\data.bin
Самоудаляется.
Сетевая активность:
Подключается к:
- 'wh#####yipaddress.com':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- http://wh#####yipaddress.com/
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK wh#####yipaddress.com
- DNS ASK wp#d
