Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Fawzy_Exe' = '%PROGRAM_FILES%\fawzy\fawzy.exe'
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%PROGRAM_FILES%\fawzy\fawzy.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"%PROGRAM_FILES%\fawzy\fawzy.exe" -noconnect'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Создает и запускает на исполнение:
- %PROGRAM_FILES%\fawzy\fx.exe
- %PROGRAM_FILES%\fawzy\kill.exe
- %PROGRAM_FILES%\fawzy\fawzy.exe
- %PROGRAM_FILES%\fawzy\hd.exe /n /fh mirc
Запускает на исполнение:
- %WINDIR%\regedit.exe /s 543.reg
- %WINDIR%\regedit.exe /s 148.reg
- %WINDIR%\regedit.exe /s 542.reg
- %WINDIR%\regedit.exe /s 159.reg
- %WINDIR%\regedit.exe /s 579.reg
- %WINDIR%\regedit.exe /s 690.reg
- %WINDIR%\regedit.exe /s 248.reg
- %WINDIR%\regedit.exe /s 774.reg
- %WINDIR%\regedit.exe /s 180.reg
- %WINDIR%\regedit.exe /s 771.reg
- %WINDIR%\regedit.exe /s 292.reg
- %WINDIR%\regedit.exe /s 990.reg
- %WINDIR%\regedit.exe /s 646.reg
- %WINDIR%\msagent\agentsvr.exe -Embedding
- %WINDIR%\regedit.exe /s 722.reg
- %WINDIR%\regedit.exe /s 994.reg
- %WINDIR%\regedit.exe /s 833.reg
- %WINDIR%\regedit.exe /s 420.reg
- %WINDIR%\regedit.exe /s 789.reg
- %WINDIR%\regedit.exe /s 393.reg
Завершает или пытается завершить
следующие пользовательские процессы:
- NAVAPW32.EXE
- AVPM.EXE
- AVPCC.EXE
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\fawzy\159.reg
- %PROGRAM_FILES%\fawzy\579.reg
- %PROGRAM_FILES%\fawzy\542.reg
- %PROGRAM_FILES%\fawzy\833.reg
- %PROGRAM_FILES%\fawzy\393.reg
- %PROGRAM_FILES%\fawzy\420.reg
- %PROGRAM_FILES%\fawzy\994.reg
- %PROGRAM_FILES%\fawzy\543.reg
- %PROGRAM_FILES%\fawzy\690.reg
- %PROGRAM_FILES%\fawzy\248.reg
- %PROGRAM_FILES%\fawzy\remote.ini
- %PROGRAM_FILES%\fawzy\774.reg
- %PROGRAM_FILES%\fawzy\148.reg
- %PROGRAM_FILES%\fawzy\180.reg
- %PROGRAM_FILES%\fawzy\771.reg
- %PROGRAM_FILES%\fawzy\789.reg
- %PROGRAM_FILES%\fawzy\hd.exe
- %PROGRAM_FILES%\fawzy\mirc.ini
- %PROGRAM_FILES%\fawzy\fawzy.exe
- %PROGRAM_FILES%\fawzy\ChaseC.mrc
- %PROGRAM_FILES%\fawzy\ChaseX.mrc
- %PROGRAM_FILES%\fawzy\ChaseM.mrc
- %PROGRAM_FILES%\fawzy\ChaseI.mrc
- %PROGRAM_FILES%\fawzy\v1rg1n
- %PROGRAM_FILES%\fawzy\646.reg
- %PROGRAM_FILES%\fawzy\292.reg
- %PROGRAM_FILES%\fawzy\990.reg
- %PROGRAM_FILES%\fawzy\722.reg
- %PROGRAM_FILES%\fawzy\Sys.mrc
- %PROGRAM_FILES%\fawzy\fx.exe
- %PROGRAM_FILES%\fawzy\kill.exe
Удаляет следующие файлы:
- %PROGRAM_FILES%\fawzy\542.reg
- %PROGRAM_FILES%\fawzy\543.reg
- %PROGRAM_FILES%\fawzy\159.reg
- %PROGRAM_FILES%\fawzy\579.reg
- %PROGRAM_FILES%\fawzy\148.reg
- %PROGRAM_FILES%\fawzy\774.reg
- %PROGRAM_FILES%\fawzy\690.reg
- %PROGRAM_FILES%\fawzy\180.reg
- %PROGRAM_FILES%\fawzy\771.reg
- %PROGRAM_FILES%\fawzy\292.reg
- %PROGRAM_FILES%\fawzy\990.reg
- %PROGRAM_FILES%\fawzy\722.reg
- %PROGRAM_FILES%\fawzy\646.reg
- %PROGRAM_FILES%\fawzy\789.reg
- %PROGRAM_FILES%\fawzy\994.reg
- %PROGRAM_FILES%\fawzy\833.reg
- %PROGRAM_FILES%\fawzy\393.reg
- %PROGRAM_FILES%\fawzy\420.reg
Сетевая активность:
Подключается к:
- 'ta####x.guccino.us':9881
UDP:
- DNS ASK ta####x.guccino.us
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'mirc'
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
