Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = '%WINDIR%\syetem32\ctfmon.exe'
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: beep1.sys
Скрывает следующие процессы:
- <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\dlq81.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\wb[1].txt
- <DRIVERS>\beep1.sys
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\dlq8[1].txt
- <SYSTEM32>\dlq82.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\lith654321[1].txt
- <SYSTEM32>\dlq83.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\ip[1].txt
- %TEMP%\TYWL\TEsens.fne
- %TEMP%\TYWL\spec.fne
- %TEMP%\TYWL\krnln.fnr
- %TEMP%\TYWL\eAPI.fne
- <Текущая директория>\ty96.dll
- %WINDIR%\syetem32\lpk.dll
- %TEMP%\TYWL\dp1.fne
- %TEMP%\TYWL\krnln.fne
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
Изменяет файл HOSTS.
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 'up.#lq8.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- up.#lq8.com/hosts/ip.txt
- up.#lq8.com/hosts/lith654321.txt
- up.#lq8.com/hosts/dlq8.txt
- up.#lq8.com/hosts/wb.txt
UDP:
- DNS ASK up.#lq8.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: '??????'
