Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\kr_done1
- %TEMP%\qas1.tmp
Удаляет следующие файлы:
- %TEMP%\qas1.tmp
Сетевая активность:
Подключается к:
- '20#.#6.232.182':80
- 'xw####tyk.ku1.in':80
- 'li##x.org':80
- '74.##5.232.51':80
- '67.##5.160.76':80
TCP:
Запросы HTTP GET:
- http://microsoft.com/ via 20#.#6.232.182
- http://xw####tyk.ku1.in/t/d2hsdWF3OzJ0OHY5Oj0,cyJtIG8kaUVyam9zeHk9Tn5DSgIRAkxDUU1bFx0CHQAdCQECHQYEDgdEDwgCDA0QDXF5cmUlM3smPi4pKGIoNip2IzMgaWVwMS06MWZteysxCRBfUkIEBQQHHAQfUQgWX0BDVAdJRVAZGQ1HSg=...
- http://li##x.org/
- http://google.com/ via 74.##5.232.51
- http://ya##o.com/ via 67.##5.160.76
UDP:
- DNS ASK xw####tyk.ku1.in
- DNS ASK 0.###l.ntp.org
- DNS ASK 2.###l.ntp.org
- DNS ASK 1.###l.ntp.org
- DNS ASK po##.ntp.org
- DNS ASK li##x.org
- DNS ASK ya##o.com
- DNS ASK microsoft.com
- DNS ASK google.com
- 'localhost':1052
- 'localhost':1051
- 'localhost':1043
- 'localhost':1053
- 'localhost':1050
- 'localhost':1044
- 'localhost':1042
- 'localhost':1045
- 'po##.ntp.org':123
