Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\6to4] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <DRIVERS>\beep.sys
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\security.dll файлом <SYSTEM32>\dllcache\security.dll.new
- <SYSTEM32>\dllcache\beep.sys файлом <SYSTEM32>\dllcache\beep.sys.new
- <SYSTEM32>\security.dll файлом %TEMP%\220828_wwhhmm.TEMP
Вредоносные функции:
Устраняет перехваты фукнций в SSDT (System Service Descriptor Table).
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\220828_wwhhmm.TEMP
- %TEMP%\218875_wwhhmm.TEMP
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\Security.dll
- %TEMP%\218875_whm.temp
Удаляет следующие файлы:
- <SYSTEM32>\security.dll.tmp
- <SYSTEM32>\security.dll
Перемещает следующие файлы:
- <SYSTEM32>\Security.dll в <SYSTEM32>\security.dll.tmp
- <SYSTEM32>\dllcache\security.dll.new в <SYSTEM32>\dllcache\security.dll
- %TEMP%\218875_wwhhmm.TEMP в %TEMP%\218875_whm.temp
- <SYSTEM32>\security.dll.new в <SYSTEM32>\security.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ch####3.meibu.com':80
UDP:
- DNS ASK ch####3.meibu.com
