Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\b000023df.dll] 'Name' = '<SYSTEM32>\spool\PRTPROCS\W32X86\b000023df.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\00003157.sys] 'imagepath' = '%WINDIR%\TEMP\00003157.sys'
- [<HKLM>\SYSTEM\ControlSet001\Services\00003157.sys] 'start' = '00000001'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\00003157.sys
- <SYSTEM32>\spool\prtprocs\w32x86\b000023df.dll
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\00000643
Сетевая активность:
Подключается к:
- 'www.da####ovelty.com':80
TCP:
Запросы HTTP POST:
- www.da####ovelty.com/k.php
UDP:
- DNS ASK www.da####ovelty.com
- '<IP-адрес в локальной сети>':1035
