Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' %WINDIR%\svchosts.dll
- '%WINDIR%\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe' %WINDIR%\addins\framework4.dll /codebase /silent
- '<SYSTEM32>\rundll32.exe' shell32.dll,Control_RunDLL %TEMP%\baixar.cpl
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\svchosts.dll
- %WINDIR%\addins\framework4.dll
- %TEMP%\baixar.cpl
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
Сетевая активность:
Подключается к:
- '21#.#45.193.27':80
- 'sm###.uol.com.br':587
- '21#.#45.193.20':80
- 'il####romote.com':80
TCP:
Запросы HTTP GET:
- il####romote.com/infMasterIII/saveinf.php?id##########################
- 21#.#45.193.20/svchosts.dll
- 21#.#45.193.20/framework4.dll
Запросы HTTP POST:
- 21#.#45.193.27/envia.php
UDP:
- DNS ASK sm###.uol.com.br
- DNS ASK il####romote.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
Изменяет значение AutoConfigURL
