Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\zrcvee.exe,'
- <SYSTEM32>\zrcvee.exe
- <SYSTEM32>\winlogon.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\wpad[1].dat
- %WINDIR%\Temp\ntC8C9.tmp
- <SYSTEM32>\zrcvee.exe
- из <Полный путь к вирусу> в %TEMP%\1.tmp
- 'wpad.localdomain':80
- 'ho##as.net':80
- wpad.localdomain/wpad.dat
- ho##as.net/knock.php?n=####################
- DNS ASK wpad.localdomain
- DNS ASK ho##as.net