Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '1e6f17d9' = '%APPDATA%\1e6f17d9.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '1e6f17d' = 'C:\1e6f17d9\1e6f17d9.exe'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\1e6f17d9.exe
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\SystemUpdate] 'ImagePath' = '%WINDIR%\FrameworkUpdate\Update.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Обновления системы (Windows Update)
- Центр обеспечения безопасности (Security Center)
блокирует:
- Компонент восстановления системы (SR)
удаляет теневые копии разделов.
Запускает на исполнение:
- '%WINDIR%\FrameworkUpdate\Update.exe'
- '<SYSTEM32>\svchost.exe' netsvcs
- '%WINDIR%\explorer.exe'
- '%TEMP%\2.tmp'
- '%TEMP%\3.tmp'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\1e6f17d9.exe
- %APPDATA%\麽鎒駓覜
- %WINDIR%\FrameworkUpdate\Update.exe
- %TEMP%\2.tmp
- %TEMP%\3.tmp
- C:\1e6f17d9\1e6f17d9.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\麽鎒駓覜
Сетевая активность:
Подключается к:
- 'pr#####onsultancy.com':8080
- 'as#####roperties.com':4444
- 'ma##.##tta-futura.com':8080
- 'sh###isudha.com':2525
- 'bi###tbass.org':2222
- '17#.#30.130.167':8080
- 'ma##.##quamarina.biz':2525
- 'af####i-studenti.it':2625
- '94.##7.28.29':8080
- 'cu###yip.com':80
- 'bc###board.com':2525
- 'ip##ddr.es':80
- 'my####rnalip.com':80
- 'fe##omia.it':2025
- 'ma##.##obabybuys.com':3737
- '91.##1.12.127':81
- 'bl###edcode.net':8080
- 'ma##.#arcausata.net':8585
TCP:
Запросы HTTP GET:
- http://cu###yip.com/
- http://my####rnalip.com/raw
- http://ip##ddr.es/
UDP:
- DNS ASK pr#####onsultancy.com
- DNS ASK sh###isudha.com
- DNS ASK ma##.##tta-futura.com
- DNS ASK as#####roperties.com
- DNS ASK ma##.##quamarina.biz
- DNS ASK af####i-studenti.it
- DNS ASK bi###tbass.org
- DNS ASK ma##.##obabybuys.com
- DNS ASK cu###yip.com
- DNS ASK my####rnalip.com
- DNS ASK ip##ddr.es
- DNS ASK bc###board.com
- DNS ASK ma##.#arcausata.net
- DNS ASK bl###edcode.net
- DNS ASK fe##omia.it
