Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = '<DRIVERS>\nVIDIA\dll\rundll.exe'
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"<DRIVERS>\nVIDIA\dll\rundll.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"<DRIVERS>\nVIDIA\dll\rundll.exe" -noconnect'
Вредоносные функции:
Создает и запускает на исполнение:
- '<DRIVERS>\nVIDIA\DLL\hex.exe' "mIRC DB" /hide
- '<DRIVERS>\nVIDIA\DLL\rundll.exe'
Запускает на исполнение:
- '%WINDIR%\msagent\agentsvr.exe' -Embedding
Изменения в файловой системе:
Создает следующие файлы:
- <DRIVERS>\nVIDIA\DLL\nicks.txt
- <DRIVERS>\nVIDIA\DLL\TMP1.$$$
- <DRIVERS>\nVIDIA\DLL\ident.ini
- <DRIVERS>\nVIDIA\DLL\fullname.txt
- <DRIVERS>\nVIDIA\DLL\TMP2.$$$
- <DRIVERS>\nVIDIA\DLL\TMP5.$$$
- <DRIVERS>\nVIDIA\DLL\TMP6.$$$
- <DRIVERS>\nVIDIA\DLL\TMP3.$$$
- <DRIVERS>\nVIDIA\DLL\TMP4.$$$
- <DRIVERS>\nVIDIA\DLL\script.ini
- <DRIVERS>\nVIDIA\DLL\hex.exe
- <DRIVERS>\nVIDIA\DLL\mirc.GID
- <DRIVERS>\nVIDIA\DLL\Ai gasit progrmu`.txt
- <DRIVERS>\nVIDIA\DLL\control.ini
- <DRIVERS>\nVIDIA\DLL\mirc.ini
- <DRIVERS>\nVIDIA\DLL\rundll.exe
- <DRIVERS>\nVIDIA\DLL\users.ini
- <DRIVERS>\nVIDIA\DLL\regedit
- <DRIVERS>\nVIDIA\DLL\remote.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- <DRIVERS>\nVIDIA\DLL\mirc.GID
Удаляет следующие файлы:
- <DRIVERS>\nVIDIA\DLL\TMP4.$$$
- <DRIVERS>\nVIDIA\DLL\TMP5.$$$
- <DRIVERS>\nVIDIA\DLL\TMP6.$$$
- <DRIVERS>\nVIDIA\DLL\TMP1.$$$
- <DRIVERS>\nVIDIA\DLL\TMP2.$$$
- <DRIVERS>\nVIDIA\DLL\TMP3.$$$
Сетевая активность:
Подключается к:
- '16#.#3.178.240':6667
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
