Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe] 'Debugger' = 'MsDxClient.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ctfmon.exe' = 'ctfmon.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Autorun.inf
- <Имя диска съемного носителя>:\~device\devmon86.exe
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<SYSTEM32>\MsDxClient.exe' = '<SYSTEM32>\MsDxClient.exe:*:Enabled:LAN Router'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<SYSTEM32>\MsDxClient.exe' = '<SYSTEM32>\MsDxClient.exe:*:Enabled:LAN Router'
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
блокирует:
- Компонент восстановления системы (SR)
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\MsDxClient.exe' <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\net.exe' stop vsmon
- '<SYSTEM32>\sc.exe' delete cmdAgent
- '<SYSTEM32>\sc.exe' config vsmon start= disabled
- '<SYSTEM32>\sc.exe' stop vsmon
- '<SYSTEM32>\sc.exe' stop cmdAgent
- '<SYSTEM32>\net.exe' stop cmdAgent
- '<SYSTEM32>\net1.exe' stop cmdAgent
- '<SYSTEM32>\sc.exe' config cmdAgent start= disabled
- '<SYSTEM32>\net1.exe' stop SbPF.Launcher
- '<SYSTEM32>\sc.exe' config SbPF.Launcher start= disabled
- '<SYSTEM32>\net.exe' stop SPF4
- '<SYSTEM32>\sc.exe' delete SbPF.Launcher
- '<SYSTEM32>\sc.exe' delete vsmon
- '<SYSTEM32>\net1.exe' stop vsmon
- '<SYSTEM32>\sc.exe' stop SbPF.Launcher
- '<SYSTEM32>\net.exe' stop SbPF.Launcher
- '<SYSTEM32>\net1.exe' stop SmcService
- '<SYSTEM32>\net1.exe' stop TmPfw
- '<SYSTEM32>\sc.exe' config TmPfw start= disabled
- '<SYSTEM32>\sc.exe' stop KPF4
- '<SYSTEM32>\sc.exe' delete TmPfw
- '<SYSTEM32>\net1.exe' stop OutpostFirewall
- '<SYSTEM32>\sc.exe' delete OutpostFirewall
- '<SYSTEM32>\sc.exe' stop TmPfw
- '<SYSTEM32>\net.exe' stop TmPfw
- '<SYSTEM32>\sc.exe' stop SmcService
- '<SYSTEM32>\net.exe' stop SmcService
- '<SYSTEM32>\sc.exe' delete SmcService
- '<SYSTEM32>\sc.exe' config SmcService start= disabled
- '<SYSTEM32>\sc.exe' config KPF4 start= disabled
- '<SYSTEM32>\net.exe' stop KPF4
- '<SYSTEM32>\sc.exe' delete KPF4
- '<SYSTEM32>\net1.exe' stop KPF4
- '<SYSTEM32>\sc.exe' stop SPF4
- '<SYSTEM32>\net.exe' stop "Sophos Client Firewall"
- '<SYSTEM32>\net1.exe' stop "Sophos AutoUpdate Service"
- '<SYSTEM32>\sc.exe' config "Sophos Client Firewall" start= disabled
- '<SYSTEM32>\sc.exe' stop "Sophos Client Firewall"
- '<SYSTEM32>\net.exe' stop "Sophos AutoUpdate Service"
- '<SYSTEM32>\sc.exe' delete SAVAdminService
- '<SYSTEM32>\sc.exe' config "Sophos AutoUpdate Service" start= disabled
- '<SYSTEM32>\sc.exe' stop "Sophos AutoUpdate Service"
- '<SYSTEM32>\net1.exe' stop "Sophos Client Firewall Manager"
- '<SYSTEM32>\sc.exe' config "Sophos Client Firewall Manager" start= disabled
- '<SYSTEM32>\ipconfig.exe' /flushdns
- '<SYSTEM32>\sc.exe' delete "Sophos Client Firewall Manager"
- '<SYSTEM32>\net1.exe' stop "Sophos Client Firewall"
- '<SYSTEM32>\sc.exe' delete "Sophos Client Firewall"
- '<SYSTEM32>\sc.exe' stop "Sophos Client Firewall Manager"
- '<SYSTEM32>\net.exe' stop "Sophos Client Firewall Manager"
- '<SYSTEM32>\net1.exe' stop SAVAdminService
- '<SYSTEM32>\sc.exe' config acssrv start= disabled
- '<SYSTEM32>\sc.exe' stop acssrv
- '<SYSTEM32>\sc.exe' delete acssrv
- '<SYSTEM32>\net1.exe' stop acssrv
- '<SYSTEM32>\net1.exe' stop SPF4
- '<SYSTEM32>\sc.exe' config SPF4 start= disabled
- '<SYSTEM32>\net.exe' stop acssrv
- '<SYSTEM32>\sc.exe' delete SPF4
- '<SYSTEM32>\net.exe' stop SAVAdminService
- '<SYSTEM32>\sc.exe' delete SAVService
- '<SYSTEM32>\sc.exe' config SAVAdminService start= disabled
- '<SYSTEM32>\sc.exe' stop SAVAdminService
- '<SYSTEM32>\sc.exe' stop SAVService
- '<SYSTEM32>\net.exe' stop SAVService
- '<SYSTEM32>\net1.exe' stop SAVService
- '<SYSTEM32>\sc.exe' config SavService start= disabled
- '<SYSTEM32>\sc.exe' config OutpostFirewall start= disabled
- '<SYSTEM32>\sc.exe' config "avast! Antivirus" start= disabled
- '<SYSTEM32>\sc.exe' stop "avast! Antivirus"
- '<SYSTEM32>\net1.exe' stop "avast! Antivirus"
- '<SYSTEM32>\sc.exe' delete "avast! Antivirus"
- '<SYSTEM32>\sc.exe' delete K7TSMngr
- '<SYSTEM32>\net.exe' stop K7TSMngr
- '<SYSTEM32>\net.exe' stop "avast! Antivirus"
- '<SYSTEM32>\net1.exe' stop K7TSMngr
- '<SYSTEM32>\net.exe' stop PASRV
- '<SYSTEM32>\sc.exe' delete AntiVirService
- '<SYSTEM32>\sc.exe' config PASRV start= disabled
- '<SYSTEM32>\sc.exe' stop PASRV
- '<SYSTEM32>\sc.exe' stop AntiVirService
- '<SYSTEM32>\net.exe' stop AntiVirService
- '<SYSTEM32>\net1.exe' stop AntiVirService
- '<SYSTEM32>\sc.exe' config AntiVirService start= disabled
- '<SYSTEM32>\sc.exe' config K7TSMngr start= disabled
- '<SYSTEM32>\net.exe' stop MsMpSvc
- '<SYSTEM32>\net1.exe' stop CSIScanner
- '<SYSTEM32>\sc.exe' config MsMpSvc start= disabled
- '<SYSTEM32>\sc.exe' stop MsMpSvc
- '<SYSTEM32>\sc.exe' stop CSIScanner
- '<SYSTEM32>\net.exe' stop CSIScanner
- '<SYSTEM32>\sc.exe' delete CSIScanner
- '<SYSTEM32>\sc.exe' config CSIScanner start= disabled
- '<SYSTEM32>\net1.exe' stop K7RTScan
- '<SYSTEM32>\sc.exe' config K7RTScan start= disabled
- '<SYSTEM32>\sc.exe' stop K7TSMngr
- '<SYSTEM32>\sc.exe' delete K7RTScan
- '<SYSTEM32>\sc.exe' delete MsMpSvc
- '<SYSTEM32>\net1.exe' stop MsMpSvc
- '<SYSTEM32>\sc.exe' stop K7RTScan
- '<SYSTEM32>\net.exe' stop K7RTScan
- '<SYSTEM32>\net1.exe' stop PASRV
- '<SYSTEM32>\sc.exe' stop ekrn
- '<SYSTEM32>\net.exe' stop ekrn
- '<SYSTEM32>\net1.exe' stop ekrn
- '<SYSTEM32>\sc.exe' config ekrn start= disabled
- '<SYSTEM32>\sc.exe' config NOD32krn start= disabled
- '<SYSTEM32>\sc.exe' stop NOD32krn
- '<SYSTEM32>\net1.exe' stop NOD32krn
- '<SYSTEM32>\sc.exe' delete NOD32krn
- '<SYSTEM32>\sc.exe' delete McShield
- '<SYSTEM32>\net1.exe' stop McShield
- '<SYSTEM32>\sc.exe' stop OutpostFirewall
- '<SYSTEM32>\net.exe' stop OutpostFirewall
- '<SYSTEM32>\net.exe' stop McShield
- '<SYSTEM32>\sc.exe' delete ekrn
- '<SYSTEM32>\sc.exe' config McShield start= disabled
- '<SYSTEM32>\sc.exe' stop McShield
- '<SYSTEM32>\net.exe' stop NOD32krn
- '<SYSTEM32>\sc.exe' delete VSSERV
- '<SYSTEM32>\net1.exe' stop VSSERV
- '<SYSTEM32>\sc.exe' stop avg8wd
- '<SYSTEM32>\net.exe' stop avg8wd
- '<SYSTEM32>\net.exe' stop VSSERV
- '<SYSTEM32>\sc.exe' delete PASRV
- '<SYSTEM32>\sc.exe' config VSSERV start= disabled
- '<SYSTEM32>\sc.exe' stop VSSERV
- '<SYSTEM32>\sc.exe' config avg9wd start= disabled
- '<SYSTEM32>\sc.exe' stop avg9wd
- '<SYSTEM32>\sc.exe' delete avg9wd
- '<SYSTEM32>\net1.exe' stop avg9wd
- '<SYSTEM32>\net1.exe' stop avg8wd
- '<SYSTEM32>\sc.exe' config avg8wd start= disabled
- '<SYSTEM32>\net.exe' stop avg9wd
- '<SYSTEM32>\sc.exe' delete avg8wd
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
Завершает или пытается завершить
следующие пользовательские процессы:
- zlclient.exe
- GUARD.EXE
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'PROCMON_WINDOW_CLASS' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
обнаружения различных программ и игр:
- ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'
Скрывает следующие процессы:
- <Полный путь к вирусу>
- <SYSTEM32>\MsDxClient.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\ief.dwq
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\debug2[1].zip
- <SYSTEM32>\MsDxClient.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\MsDxClient.exe
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ns###.#llsexytrickz.com':52019
- 'ro##.##xme1fucan.com':80
TCP:
Запросы HTTP GET:
- ro##.##xme1fucan.com/net/debug2.zip
UDP:
- DNS ASK ns###.#exscandalism.com
- DNS ASK ns###.#llsexytrickz.com
- DNS ASK ns##.##xysextips.net
- DNS ASK ns##.##sanesextrix.net
- DNS ASK ns###.#shongkong.net
- DNS ASK ns###.##nyouhavanorgasm.su
- DNS ASK ns###.##rmanexchangsvc.net
- DNS ASK ns###.##lkerstbandits.com
- DNS ASK ns###.###isandthortoninc.com
- DNS ASK ns##.###biemaniacbiz.com
- DNS ASK ns##.##ezombieblog.net
- DNS ASK ns#.###lzombieguide.com
- DNS ASK ro##.##xme1fucan.com
- DNS ASK ns##.##ezombieworld.com
- DNS ASK ns##.##tosalemania.net
- DNS ASK ns##.##toultrasale.net
- DNS ASK ns##.##toresalerep.net
- DNS ASK ns##.##toreport4you.net
Другое:
Ищет следующие окна:
- ClassName: 'PROCEXPL' WindowName: ''
- ClassName: '#32770' WindowName: 'Regshot 1.8.2'
- ClassName: 'TCPViewClass' WindowName: ''
- ClassName: 'CNetmonMainFrame' WindowName: 'Microsoft Network Monitor 3.3'
- ClassName: 'SmartSniff' WindowName: 'SmartSniff'
