Техническая информация
Вредоносные функции:
Перехватывает следующие функции в SSDT (System Service Descriptor Table):
- NtQuerySystemInformation, драйвер-обработчик: hbh_sys.sys
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\hbh_sys.sys
- %TEMP%\_homepage.ini
- %TEMP%\process_name.dat
Удаляет следующие файлы:
- <SYSTEM32>\PerfStringBackup.TMP
- <SYSTEM32>\wbem\Performance\WmiApRpl.ini
Сетевая активность:
Подключается к:
- 'un###.pk2012.info':9000
- 'un###.pcdogs.info':9000
- 'un###.yaowan365.com':9000
- '12#.#25.114.144':80
- 'ga##.#65doc.info':9000
- '11#.#8.65.20':9000
UDP:
- DNS ASK un###.pk2012.info
- DNS ASK un###.pcdogs.info
- DNS ASK un###.yaowan365.com
- DNS ASK www.ba##u.com
- DNS ASK ga##.#65doc.info
- '25#.#55.255.255':4012
Другое:
Ищет следующие окна:
- ClassName: '360se_Frame' WindowName: '(null)'
- ClassName: 'IEFrame' WindowName: '(null)'
- ClassName: '#32770' WindowName: '(null)'
- ClassName: 'SE_SogouExplorerFrame' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'SHELLDLL_DefView' WindowName: '(null)'
- ClassName: 'Progman' WindowName: 'Program Manager'
- ClassName: 'progman' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
