Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Applocale] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Полный путь к вирусу>'
- '<SYSTEM32>\zkka49xbaf.exe' <Полный путь к вирусу>
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\Applocale.dll
- <DRIVERS>\etc\newhost.txt
- <SYSTEM32>\SkypeClient.exe
- <SYSTEM32>\zkka49xbaf.exe
Удаляет следующие файлы:
- <SYSTEM32>\zkka49xbaf.exe
- <DRIVERS>\etc\newhost.txt
Перемещает следующие файлы:
- <SYSTEM32>\SkypeClient.exe в <Полный путь к вирусу>
Изменяет файл HOSTS.
Самоудаляется.
Сетевая активность:
Подключается к:
- '9l###iang.cn':80
TCP:
Запросы HTTP GET:
- 9l###iang.cn/update.txt
- 9l###iang.cn/update.asp?ve##########
- 9l###iang.cn/tj/Count.Asp?a=#################################################################
UDP:
- DNS ASK 9l###iang.cn
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
