Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'WinsysMon' = '<SYSTEM32>\Socks.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] 'wextract_cleanup0' = 'rundll32.exe <SYSTEM32>\advpack.dll,DelNodeRunDLL32 "%TEMP%\IXP000.TMP\"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\IXP000.TMP\DXSETUP.exe'
- '<SYSTEM32>\Socks.exe'
- '%TEMP%\IXP000.TMP\Server.exe'
Запускает на исполнение:
- '<SYSTEM32>\net1.exe' stop wscsvc
- '<SYSTEM32>\reg.exe' add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v WinsysMon /t REG_SZ /d "<SYSTEM32>\Socks.exe" /f
- '<SYSTEM32>\cmd.exe' /c %TEMP%\hi.bat
- '<SYSTEM32>\net.exe' stop wscsvc
- '<SYSTEM32>\netsh.exe' firewall set service type = upnp mode = enable
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\DirectX.log
- <SYSTEM32>\socklink.txt
- %WINDIR%\DXError.log
- %TEMP%\hi.bat
- <SYSTEM32>\MSWINSCK.OCX
- %TEMP%\IXP000.TMP\DXSETUP.exe
- %TEMP%\IXP000.TMP\Server.exe
- <SYSTEM32>\Socks.exe
- %TEMP%\nsw2.tmp
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
