Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'monu' = '<SYSTEM32>\fazi.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ivar5ibyx] 'Start' = '00000002'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\mudo.exe
Самоперемещается:
- из <SYSTEM32>\quooquezydoo.exe в <SYSTEM32>\fazi.exe
- из <Полный путь к вирусу> в <SYSTEM32>\quooquezydoo.exe
Сетевая активность:
Подключается к:
- '65.##.37.120':25
- '20#.#90.54.127':25
- '76.##.62.116':25
- '20#.#91.88.254':25
- '98.##7.54.237':25
- '74.##5.113.27':25
- 'www.ip###ress.com':80
- 'www.fi####p-address.org':80
- 'wh#####yipaddress.com':80
- '76.##.30.116':25
- '65.##.92.152':25
- 'ch####p.dyndns.com':80
- '20#.#5.221.44':25
- '20#.#5.229.27':25
- '65.##.188.110':25
- '67.##5.168.31':25
- '67.##5.168.230':25
- '74.#.136.65':25
- '74.##5.148.14':25
- '20#.#90.36.85':25
- '65.##.92.136':25
- '74.##5.148.10':25
- '65.##.92.168':25
- '65.#5.37.72':25
TCP:
Запросы HTTP GET:
- www.fi####p-address.org/
- wh#####yipaddress.com/
- ch####p.dyndns.com/
- www.ip###ress.com/
UDP:
- DNS ASK www.fi####p-address.org
- DNS ASK wh#####yipaddress.com
- DNS ASK ch####p.dyndns.com
- DNS ASK www.ip###ress.com
