Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\odbcad32.exe'
- '<SYSTEM32>\magnify.exe'
- '<SYSTEM32>\freecell.exe'
- '<SYSTEM32>\svchost.exe' -k imgsvc
- '<SYSTEM32>\perfmon.exe'
- '<SYSTEM32>\mmc.exe'
- '<SYSTEM32>\dxdiag.exe'
- '<SYSTEM32>\dvdplay.exe'
- '<SYSTEM32>\ddeshare.exe'
- '<SYSTEM32>\eventvwr.exe'
- '<SYSTEM32>\mmc.exe' /s <SYSTEM32>\eventvwr.msc
- '<SYSTEM32>\eudcedit.exe'
- '<SYSTEM32>\sol.exe'
- '<SYSTEM32>\spider.exe'
- '<SYSTEM32>\shrpubw.exe'
- '<SYSTEM32>\svchost.exe'
- '<SYSTEM32>\calc.exe'
- '<SYSTEM32>\notepad.exe'
- '%WINDIR%\regedit.exe'
- '<SYSTEM32>\mspaint.exe'
- '<SYSTEM32>\nslookup.exe'
- '<SYSTEM32>\sndrec32.exe'
- '<SYSTEM32>\winchat.exe'
- '<SYSTEM32>\telnet.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKLM>\SOFTWARE\Microsoft\MessengerService]
Сетевая активность:
Подключается к:
- '<IP-адрес в локальной сети>':53
Другое:
Ищет следующие окна:
- ClassName: '(null)' WindowName: 'Private Character Editor '
- ClassName: 'EDIT' WindowName: '(null)'
- ClassName: 'SysListView32' WindowName: '(null)'
- ClassName: 'WMP9DeskBand' WindowName: 'WMP9DeskBand'
- ClassName: 'ReBarWindow32' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'ODBCAdmClass' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'NDDEAgnt' WindowName: 'NetDDE Agent'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
