Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ufad-dns60\Parameters] 'ServiceDll' = '<SYSTEM32>\vcphBHfhoW.dll'
- [<HKLM>\SYSTEM\ControlSet001\Services\ufad-dns60] 'ImagePath' = '<SYSTEM32>\svchost.exe -k ufad-dns60'
- [<HKLM>\SYSTEM\ControlSet001\Services\ufad-dns60] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k ufad-dns60
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\Admin_Post[1].htm
- C:\hwivyrMmSYr.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\vcphBHfhoW.dll
Удаляет следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\Admin_Post[1].htm
Перемещает следующие файлы:
- C:\hwivyrMmSYr.dll в <SYSTEM32>\vcphBHfhoW.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'tj.##nhucj.cn':80
TCP:
Запросы HTTP POST:
- http://tj.##nhucj.cn/Admin_Post.Asp
UDP:
- DNS ASK tj.##nhucj.cn
