Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '506E7F4D_0' = '<Полный путь к вирусу>'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\DnE.job
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\tmp2.tmp.exe' /C "schtasks /create /tn DnE /tr "<Полный путь к вирусу>" /sc ONLOGON /ru System"
- '%TEMP%\tmp2.tmp.exe' /C "schtasks /delete /tn DnE /f"
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /tn DnE /tr "<Полный путь к вирусу>" /sc ONLOGON /ru System
- '<SYSTEM32>\schtasks.exe' /delete /tn DnE /f
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\tmp2.tmp.exe
- %TEMP%\tmp1.tmp.dll
Сетевая активность:
Подключается к:
- 'www.ru####gwild.cz.cc':80
TCP:
Запросы HTTP GET:
- www.ru####gwild.cz.cc/images/index.php
UDP:
- DNS ASK www.ru####gwild.cz.cc
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
