Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\PolicyAgent] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\IPSECCMD.EXE -w REG -p "ikeeper" -r "Block11 " -f *+0:14101:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block12 " -f *+0:14101:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block9 " -f *+0:14100:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block10 " -f *+0:14100:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block15 " -f *+0:1028:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block16" -f *+0:1028:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block13" -f *+0:1026:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block14" -f *+0:1026:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block8 " -f *+0:14105:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block2 " -f *+0:13105:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block3 " -f *+0:13101:TCP -n BLOCK -x -w REG -p "ikeeper" -o -x -w REG -p "ikeeper" -r "Blockdd2 " -f *+0:13105:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block6 " -f *+0:13100:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block7 " -f *+0:14105:TCP -n BLOCK -x -w REG -p "ikeeper" -r "Block4 " -f *+0:13101:UDP -n BLOCK -x -w REG -p "ikeeper" -r "Block5 " -f *+0:13100:TCP -n BLOCK -x
Запускает на исполнение:
- <SYSTEM32>\sc.exe start policyagent
- <SYSTEM32>\ping.exe -n 1 127.1
- <SYSTEM32>\sc.exe create PolicyAgent binpath= "<SYSTEM32>\lsass.exe" type= share start= auto displayname= "IPSEC Services" depend= RPCSS/IPSec
- <SYSTEM32>\sc.exe config policyagent start= Auto
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\bt8006.bat
- <Текущая директория>\winipsec.dll
- <Текущая директория>\IPSECCMD.EXE
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\bt8006.bat
