Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %TEMP%\30ef5.tmp
- %HOMEPATH%\Start Menu\Programs\Startup\adb.url
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\cgi_personal_card[1]
- %WINDIR%\Debug\UserMode\userenv.log
- <SYSTEM32>\adb.url
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\cgi_personal_card[1]
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Spooler11] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\sdqlyk \dwm.exe'
- '%WINDIR%\sdqlyk \dwm.exe' \dwm.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\Temp\29447.tmp
- %WINDIR%\sdqlyk \dwm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %TEMP%\30ef5.tmp
- %WINDIR%\sdqlyk \dwm.exe
- %WINDIR%\Temp\29447.tmp
Сетевая активность:
Подключается к:
- 'r.###ne.qq.com':80
- 'localhost':1041
- '21#.#1.76.125':6000
- 'localhost':1037
TCP:
Запросы HTTP GET:
- r.###ne.qq.com/cgi-bin/user/cgi_personal_card?ui##
UDP:
- DNS ASK r.###ne.qq.com
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'sdqlisagoodsoftware25709'
