Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Control Panel\Desktop] 'SCRNSAVE.EXE' = '%APPDATA%\Microsoft\Windows\starfield.scr'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'dskchk' = '%APPDATA%\dskchk.exe'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Browser] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\SSDPSRV] 'Start' = '00000002'
- [<HKLM>\SYSTEM\ControlSet001\Services\upnphost] 'Start' = '00000002'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Создает и запускает на исполнение:
- %APPDATA%\32650.9475
Запускает на исполнение:
- <SYSTEM32>\sc.exe config browser start= auto
- <SYSTEM32>\net1.exe start upnphost
- <SYSTEM32>\net1.exe start SSDPSRV
- <SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 0 /f
- <SYSTEM32>\sc.exe config upnphost start= auto
- <SYSTEM32>\sc.exe config SSDPSRV start= auto
- <SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile" /v EnableFirewall /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe ADD "HKLM\Software\Microsoft\Internet Explorer\Main\FeatureControl" /v FEATURE_WEBOC_POPUPMANAGEMENT /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe ADD "HKLM\Software\Microsoft\Internet Explorer\Main" /v Show_FullURL /t REG_SZ /d yes /f
- <SYSTEM32>\net1.exe start browser
- <SYSTEM32>\reg.exe ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile" /v EnableFirewall /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe ADD "HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile" /v EnableFirewall /t REG_DWORD /d 0 /f
- <SYSTEM32>\reg.exe DELETE "HKCU\software\microsoft\windows\currentversion\action center\checks" /f
- <SYSTEM32>\attrib.exe -R -H -S "<SYSTEM32>\regchk.exe"
- <SYSTEM32>\attrib.exe +R +H +S "<SYSTEM32>\regchk.exe"
- <SYSTEM32>\attrib.exe -R -H -S "%APPDATA%\Microsoft\Windows\starfield.scr"
- <SYSTEM32>\attrib.exe -R -H -S "%APPDATA%\dskchk.exe"
- <SYSTEM32>\attrib.exe +R +H +S "%APPDATA%\dskchk.exe"
- <SYSTEM32>\reg.exe ADD "HKCU\software\microsoft\windows\currentversion\run" /v "dskchk" /t REG_SZ /d "%APPDATA%\dskchk.exe" /f
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v ScreenSaveTimeOut /t REG_SZ /d "60" /f
- <SYSTEM32>\net1.exe START seclogon
- <SYSTEM32>\reg.exe ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v EnableBalloonTips /t REG_DWORD /d 0 /f
- <SYSTEM32>\attrib.exe +R +H +S "%APPDATA%\Microsoft\Windows\starfield.scr"
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v "SCRNSAVE.EXE" /t REG_SZ /d "%APPDATA%\Microsoft\Windows\starfield.scr" /f
- <SYSTEM32>\reg.exe ADD "HKCU\Control Panel\Desktop" /v ScreenSaveActive /t REG_SZ /d "1" /f
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\3.dat
- %APPDATA%\2.dat
- %APPDATA%\1.dat
- %APPDATA%\4.dat
- C:\Documents and Settings\LocalService\Application Data\Microsoft\UPnP Device Host\upnphost\udhisapi.dll
- %APPDATA%\mitsy.dll
- %APPDATA%\5.dat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ver[1].php
- %APPDATA%\32650.9475
- %APPDATA%\dskchk.exe
- %APPDATA%\0.dat
- %APPDATA%\Microsoft\Windows\starfield.scr
- <SYSTEM32>\regchk.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\Windows\starfield.scr
- %APPDATA%\mitsy.dll
- %APPDATA%\dskchk.exe
- <SYSTEM32>\regchk.exe
Сетевая активность:
Подключается к:
- 'al##xa.info':80
TCP:
Запросы HTTP GET:
- al##xa.info/a/b/ver.php
UDP:
- DNS ASK al##xa.info
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
