Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'run' = 'c:\bypjajpzf\start.lnk'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\start.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\bypjajpzf\csrss.exe' "c:\bypjajpzf\mydat.dll",InitSkin
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\shit[1].php
- C:\bypjajpzf\data.mdb
- C:\bypjajpzf\start.lnk
- C:\bypjajpzf\mydat.dll
- C:\bypjajpzf\csrss.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
- C:\bypjajpzf\data.mdb
Сетевая активность:
Подключается к:
- 'v.##yf.com':80
- 'v.##yf.com':5631
TCP:
Запросы HTTP GET:
- v.##yf.com/shit.php
UDP:
- DNS ASK v.##yf.com
