Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %TEMP%\685.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
- %WINDIR%\explorer.exe
Завершает или пытается завершить
следующие системные процессы:
- %WINDIR%\Explorer.EXE
следующие пользовательские процессы:
- bdagent.exe
- zlclient.exe
- AVP.EXE
- outpost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\685.exe
Сетевая активность:
Подключается к:
- 'do###t.1x.net':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- do###t.1x.net/App/MyServer.exe
- wp#d/wpad.dat
UDP:
- DNS ASK do###t.1x.net
- DNS ASK wp#d
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
- ClassName: 'OleMainThreadWndClass' WindowName: ''
- ClassName: 'CSCHiddenWindow' WindowName: ''
- ClassName: 'SystemTray_Main' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Proxy Desktop' WindowName: ''
- ClassName: 'SysListView32' WindowName: ''
- ClassName: 'BaseBar' WindowName: 'ChanApp'
