Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\dfge] 'ImagePath' = '%PROGRAM_FILES%\msdn\VectorMonitor.pas'
- [<HKLM>\SYSTEM\ControlSet001\Services\dfge] 'Start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\hknpp.exe
- <SYSTEM32>\wxqqq.exe
- %TEMP%\tmm167.tmp
- <SYSTEM32>\uqikp.exe
Запускает на исполнение:
- <SYSTEM32>\sc.exe stop ZhuDongFangYu
- <SYSTEM32>\sc.exe delete ZhuDongFangYu
- <SYSTEM32>\sc.exe stop 360rp
- <SYSTEM32>\rundll32.exe %TEMP%\Hyt1354.tmp,Main
- <SYSTEM32>\arp.exe -s 10.0.0.1 00-00-00-00-00-00
- <SYSTEM32>\runonce.exe -r
- <SYSTEM32>\arp.exe -d
Завершает или пытается завершить
следующие пользовательские процессы:
- MCAGENT.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\uqikp.exe
- %TEMP%\Hyt1354.tmp
- %PROGRAM_FILES%\msdn\VectorMonitor.pas
- <SYSTEM32>\wxqqq.exe
- <SYSTEM32>\hknpp.exe
- %PROGRAM_FILES%\AAV\CDriver.sys
- <Служебный элемент>
- %PROGRAM_FILES%\msdn\VectorMonitor.sys
- %PROGRAM_FILES%\msdn\VectorMonitor.inf
- %TEMP%\tmm167.tmp
- <DRIVERS>\SET3.tmp
- %WINDIR%\inf\oem3.PNF
- %WINDIR%\inf\oem3.inf
Удаляет следующие файлы:
- <SYSTEM32>\uqikp.exe
- <SYSTEM32>\hknpp.exe
- <DRIVERS>\VectorMonitor.sys
- %PROGRAM_FILES%\msdn\VectorMonitor.inf
- %PROGRAM_FILES%\msdn\VectorMonitor.sys
- %PROGRAM_FILES%\msdn\VectorMonitor.pas
Перемещает следующие файлы:
- <DRIVERS>\SET3.tmp в <DRIVERS>\VectorMonitor.sys
Самоудаляется.
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
