Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Google Update' = '%ALLUSERSPROFILE%\opex.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\97995450.lnk
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\lsass.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\lsass.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\80140
- %ALLUSERSPROFILE%\opex.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1127
- 'localhost':1124
- 'localhost':1130
- 'localhost':1136
- 'localhost':1133
- 'localhost':1121
- 'localhost':1109
- 'localhost':1106
- 'localhost':1112
- 'localhost':1118
- 'localhost':1115
- 'localhost':1160
- 'localhost':1157
- 'localhost':1163
- 'localhost':1169
- 'localhost':1166
- 'localhost':1154
- 'localhost':1142
- 'localhost':1139
- 'localhost':1145
- 'localhost':1151
- 'localhost':1148
- 'localhost':1103
- 'localhost':1058
- 'localhost':1055
- 'localhost':1061
- 'localhost':1067
- 'localhost':1064
- 'localhost':1052
- 'localhost':1043
- 'wp#d':80
- '10#.#32.33.17':80
- 'localhost':1049
- 'localhost':1046
- 'localhost':1091
- 'localhost':1088
- 'localhost':1094
- 'localhost':1100
- 'localhost':1097
- 'localhost':1085
- 'localhost':1073
- 'localhost':1070
- 'localhost':1076
- 'localhost':1082
- 'localhost':1079
TCP:
Запросы HTTP GET:
- http://10#.#32.33.17/ldr/g.php?d=##############################################################################################################
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK wp#d
