Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{18V70D2Y-41Y3-4RDL-0426-14174S0HK7M3}] 'StubPath' = 'C:\System32\winlogon.exe Restart'
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{18V70D2Y-41Y3-4RDL-0426-14174S0HK7M3}] 'StubPath' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '{2D3501DB-65F6-B9D3-DB63-5CD7A69E9F95}' = '"%APPDATA%\Veilt\bibuy.exe"'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'HKCU' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'Policies' = ''
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] 'Policies' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'HKLM' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\Veilt\bibuy.exe'
- 'C:\System32\winlogon.exe'
- '%TEMP%\3.exe'
- '%TEMP%\1.exe'
- '%TEMP%\2.exe'
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %TEMP%\Western Union images.jpg
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\rundll32.exe
- <SYSTEM32>\cmd.exe
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\ctfmon.exe
большое количество пользовательских процессов.
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKLM>\SOFTWARE\martin prikryl\winscp 2\sessions]
- [<HKCU>\SOFTWARE\ftpware\coreftp\sites]
- [<HKCU>\SOFTWARE\Far2\Plugins\ftp\hosts]
- [<HKLM>\SOFTWARE\FlashFXP\3]
- [<HKCU>\SOFTWARE\Ghisler\Total Commander]
- [<HKCU>\SOFTWARE\Far\Plugins\ftp\hosts]
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1406' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1609' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1609' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\%USERNAME%v1.18.0 - Trial versionlog.dat
- %TEMP%\tmp243d6b19.bat
- %TEMP%\tmp.ini
- %APPDATA%\Cuwaom\paag.oqc
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\3.exe
- %TEMP%\2.exe
- %TEMP%\1.exe
- %TEMP%\Western Union images.jpg
- %APPDATA%\Veilt\bibuy.exe
- %TEMP%\%USERNAME%2.txt
- C:\System32\winlogon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\%USERNAME%v1.18.0 - Trial versionlog.dat
Удаляет следующие файлы:
- %TEMP%\%USERNAME%8
- %TEMP%\%USERNAME%7
- %TEMP%\%USERNAME%2.txt
- %TEMP%\3.exe
Перемещает следующие файлы:
- %APPDATA%\Cuwaom\paag.oqc в %APPDATA%\Cuwaom\paag.tmp
Сетевая активность:
Подключается к:
- 'cu#####000.no-ip.info':8898
- 'www.sh####atours.com':80
TCP:
Запросы HTTP GET:
- www.sh####atours.com/temp/cgi-bin/home/cfg.bin
UDP:
- DNS ASK cu#####000.no-ip.info
- DNS ASK www.sh####atours.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
