Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'PerShot' = 'C:\Documents and Settings\Имя пользователя\Рабочий стол\Панель\MultiHack.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\Winlock by MrSpark961.exe'
- '%TEMP%\2.tmp\by.exe'
- '%TEMP%\1.tmp\by.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\2.tmp\1.bat" "%TEMP%\1.tmp\""
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\1.tmp\1.bat" "<Текущая директория>\""
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\PSE11\php\modules\php_bz2.dll
- %TEMP%\PSE11\php\modules\php_bcompiler.dll
- %TEMP%\PSE11\php\php5ts.dll
- %TEMP%\30221492.~ph
- %TEMP%\devels\855786e1d70ffc5100ba7df2cd846ca6.phpe2
- %TEMP%\devels\855786e1d70ffc5100ba7df2cd846ca6\include.php
- %TEMP%\devels\855786e1d70ffc5100ba7df2cd846ca6\engine.php
- %TEMP%\2.tmp\1.bat
- %TEMP%\1.tmp\by.exe
- %TEMP%\1.tmp\1.bat
- %TEMP%\2.tmp\by.exe
- %TEMP%\PSE11\855786E1D70FFC5100BA7DF2CD846CA6\php.ini
- %TEMP%\Winlock by MrSpark961.exe
- %TEMP%\msvcr71.dll
Удаляет следующие файлы:
- %TEMP%\PSE11\855786E1D70FFC5100BA7DF2CD846CA6\php.ini
- %TEMP%\2.tmp\1.bat
- %TEMP%\1.tmp\1.bat
Сетевая активность:
Подключается к:
- 'www.yo##ube.com':443
- 'localhost':1036
UDP:
- DNS ASK www.yo##ube.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
