Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\apppatch\facgtlk.exe,'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\ctfmon.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\winlogon.exe
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\AppPatch\facgtlk.exe
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\1.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.bing.com':80
UDP:
- DNS ASK ga##zuz.com
- DNS ASK vo##zit.com
- DNS ASK ga##qah.com
- DNS ASK ga##fus.com
- DNS ASK ly##tuj.com
- DNS ASK ly##fyd.com
- DNS ASK pu##pog.com
- DNS ASK vo##qat.com
- DNS ASK qe##xov.com
- DNS ASK pu##dyv.com
- DNS ASK vo##zuf.com
- DNS ASK pu##jav.com
- DNS ASK vo##qem.com
- DNS ASK ly##xor.com
- DNS ASK vo##kyc.com
- DNS ASK ly##wer.com
- DNS ASK vo##gum.com
- DNS ASK qe##qop.com
- DNS ASK ga##ryw.com
- DNS ASK pu##moq.com
- DNS ASK vo##cac.com
- DNS ASK ga##fuh.com
- DNS ASK ga##qaz.com
- DNS ASK ga##vyz.com
- DNS ASK ly##fyj.com
- DNS ASK vo##ruk.com
- DNS ASK qe##qaq.com
- DNS ASK pu##xil.com
- DNS ASK ly##moj.com
- DNS ASK ly##xid.com
- DNS ASK ga##kes.com
- DNS ASK vo##pom.com
- DNS ASK ly##san.com
- DNS ASK ly##vex.com
- DNS ASK ga##deb.com
- DNS ASK ga##cos.com
- DNS ASK qe##hig.com
- DNS ASK qe##fyq.com
- DNS ASK qe##nul.com
- DNS ASK qe##tiq.com
- DNS ASK qe##ryl.com
- DNS ASK qe##sag.com
- DNS ASK pu##xiv.com
- DNS ASK www.bing.com
- DNS ASK qe##fuv.com
- DNS ASK ly##lux.com
- DNS ASK vo##jof.com
- DNS ASK vo##mik.com
- DNS ASK ga##pih.com
- DNS ASK vo##byt.com
- DNS ASK pu##gug.com
- DNS ASK qe##vep.com
- DNS ASK qe##kev.com
- DNS ASK pu##wel.com
- DNS ASK ga##hob.com
- DNS ASK pu##cap.com
- DNS ASK pu##bul.com
- DNS ASK pu##lyp.com
- DNS ASK ly##nur.com
- DNS ASK ga##niw.com
- DNS ASK vo##def.com
- DNS ASK ly##gin.com
- DNS ASK qe##lup.com
- DNS ASK pu##tuq.com
- DNS ASK ly##jad.com
Другое:
Ищет следующие окна:
- ClassName: '____AVP.Root' WindowName: ''
