Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '1it3m534c0tmwdl7hi9by2dl' = '<SYSTEM32>\eceprqqj.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '1it3m534c0tmwdl7hi9by2dl' = '<SYSTEM32>\eceprqqj.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] '1it3m534c0tmwdl7hi9by2dl' = '<SYSTEM32>\eceprqqj.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '%TEMP%\9659wZ50FR.exe' = '%TEMP%\9659wZ50FR.exe:*:Enabled:Microsoft (R) Internetal IExplore'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\eceprqqj.exe' = '<SYSTEM32>\eceprqqj.exe:*:Enabled:Microsoft (R) Internetal IExplore'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DisableNotifications' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- '<SYSTEM32>\eceprqqj.exe'
- '%TEMP%\StarCraft.exe'
- '%TEMP%\9659wZ50FR.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c %TEMP%\a3x3gk6r92egbi4.bat
- '<SYSTEM32>\attrib.exe' "%TEMP%\9659wZ50FR.exe" -h -r -s
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "<SYSTEM32>\eceprqqj.exe" /t REG_SZ /d "<SYSTEM32>\eceprqqj.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%TEMP%\9659wZ50FR.exe" /t REG_SZ /d "%TEMP%\9659wZ50FR.exe:*:Enabled:Microsoft (R) Internetal IExplore" /f
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v EnableFirewall /t REG_DWORD /d 0 /f
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DoNotAllowExceptions /t REG_DWORD /d 0 /f
- '<SYSTEM32>\reg.exe' ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v DisableNotifications /t REG_DWORD /d 1 /f
Скрывает следующие процессы:
- <SYSTEM32>\eceprqqj.exe
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\eceprqqj.exe
- %TEMP%\a3x3gk6r92egbi4.bat
- %TEMP%\~DF927.tmp
- %TEMP%\~DF111B.tmp
- %TEMP%\9659wZ50FR.exe
- %TEMP%\StarCraft.exe
- <SYSTEM32>\MSWINSCK.ocx
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\eceprqqj.exe
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\MSWINSCK[1].OCX
- %TEMP%\~DF111B.tmp
Сетевая активность:
Подключается к:
- 'localhost':1042
- 'az####01.codns.com':3333
- 'localhost':1038
- 'pd###.egloos.com':80
TCP:
Запросы HTTP GET:
- pd###.egloos.com/pds/201401/25/40/MSWINSCK.OCX
UDP:
- DNS ASK az####01.codns.com
- DNS ASK pd###.egloos.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
