Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Control\Print\Providers\SPL] 'Name' = '%TEMP%\SPL1.tmp.dll'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\qgdepvvjayba] 'Start' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\khqlmxop] 'Start' = '00000000'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\getcfg[1].htm
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\getcfg[1].htm
- <DRIVERS>\oulcobsqexjoq.sys
- %TEMP%\SPL1.tmp.dll
- <DRIVERS>\oopuhnpkpjv.sys
Удаляет следующие файлы:
- <SYSTEM32>\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\6YQRA29M\getcfg[1].htm
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\getcfg[1].htm
- %TEMP%\SPL1.tmp.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- '89.##9.196.37':80
TCP:
Запросы HTTP POST:
- 89.##9.196.37/a/getcfg.php
