Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'Load' = ''
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] '851949403' = '"%ALLUSERSPROFILE%\msibszk.exe"'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Запускает на исполнение:
- '<SYSTEM32>\msiexec.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %ALLUSERSPROFILE%\msibszk.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\msibszk.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'an##.###atoberegisterd4.com':80
- 'an##.###bnewproaaxies3.com':80
- 'an##.###atoberegisterd3.com':80
- '20#.#6.232.182':80
- 'wi####diwako122.com':80
TCP:
Запросы HTTP POST:
- http://an##.###atoberegisterd4.com/bla07/gate.php
- http://an##.###bnewproaaxies3.com/bla07/gate.php
- http://wi####diwako122.com/bla07/gate.php
- http://an##.###atoberegisterd3.com/bla07/gate.php
UDP:
- DNS ASK an##.###atoberegisterd3.com
- DNS ASK wi####diwako122.com
- DNS ASK an##.###bnewproaaxies3.com
- DNS ASK an##.###atoberegisterd4.com
- DNS ASK eu####.pool.ntp.org
- DNS ASK up####.microsoft.com
- 'localhost':1037
- 'eu####.pool.ntp.org':123
