Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WHDMIDE] 'ImagePath' = '<SYSTEM32>\windriver.exe --server'
- [<HKLM>\SYSTEM\ControlSet001\Services\WHDMIDE] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ProgramFiles%\Google\Chrome\Application\Chrome.txt' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c sc delete WHDMIDE
- '<SYSTEM32>\sc.exe' delete WHDMIDE
- '%ProgramFiles%\Google\Chrome\Application\Chrome.txt' MZђ
- '<SYSTEM32>\sc.exe' stop WHDMIDE
- '<SYSTEM32>\cmd.exe' /c taskkill /f /im Chrome.txt
- '<SYSTEM32>\taskkill.exe' /f /im Chrome.txt
- '<SYSTEM32>\cmd.exe' /c sc stop WHDMIDE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\id.txt
- <SYSTEM32>\history.txt
- %ProgramFiles%\Google\Chrome\Application\Chrome.txt
Самоперемещается:
- из <Полный путь к файлу> в <SYSTEM32>\windriver.exe
Сетевая активность:
Подключается к:
- 'ic###azip.com':80
- 'mi##.#xpanel.com':80
TCP:
Запросы HTTP GET:
- http:///86.txt via mi##.#xpanel.com
- http:///report?ha############################################################################################################################################################################### ...
- http:///line.txt via mi##.#xpanel.com
- http:///install/start via mi##.#xpanel.com
- http:/// via ic###azip.com
UDP:
- DNS ASK ic###azip.com
- DNS ASK mi##.#xpanel.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
