Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\msliksurserv] 'start' = '00000001'
- [<HKLM>\SYSTEM\ControlSet001\Services\msliksurserv.sys] 'ImagePath' = 'globalroot<DRIVERS>\msliksurserv.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\msliksurserv.sys] 'Start' = '00000001'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\is-TAH8V.tmp\setup.exe
- %TEMP%\is-TA8G3.tmp\<Имя вируса>.tmp /SL5="$40036,53248,53248,<Полный путь к вирусу>"
Запускает на исполнение:
- <SYSTEM32>\msiexec.exe /V
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\FR243532.tmp
- <DRIVERS>\msliksurserv.sys
- %TEMP%\is-TAH8V.tmp\setup.exe
- %TEMP%\tmp2.tmp
- %TEMP%\tmp1.tmp
- <SYSTEM32>\msliksurcredo.dll
- %TEMP%\is-TAH8V.tmp\_isetup\_RegDLL.tmp
- %TEMP%\is-TA8G3.tmp\<Имя вируса>.tmp
- %TEMP%\is-TAH8V.tmp\_isetup\_shfoldr.dll
- <SYSTEM32>\msliksurdns.dll
- %TEMP%\is-TAH8V.tmp\_isetup\_iscrypt.dll
Сетевая активность:
UDP:
- DNS ASK ue###gdgkq.com
- DNS ASK tj###cjgou.com
- DNS ASK jf###dphdh.com
- DNS ASK xp###oslpf.com
- DNS ASK px###vaoas.com
- DNS ASK bs###cpige.com
- DNS ASK hv###fketn.com
- DNS ASK sn###jeryy.com
- DNS ASK bq###pnjrs.com
- DNS ASK vl###ptouk.com
- DNS ASK www.microsoft.com
- DNS ASK ro###spbyb.com
- DNS ASK zv###ueadb.com
- DNS ASK ba###jsnxm.com
- DNS ASK yn###mwpls.com
- DNS ASK sv###iuvum.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
