Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Нш°ЙјаїШЦч·юОс¶Л' = '<Полный путь к вирусу>'
Вредоносные функции:
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Filemonclass' WindowName: ''
- ClassName: 'Regmonclass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\jinjin.ldb
- <Текущая директория>\jinjin.mdb
- %ALLUSERSPROFILE%\Desktop\Io°E?a?OO?·?In¶E.lnk
Удаляет следующие файлы:
- <Текущая директория>\jinjin.ldb
Сетевая активность:
Подключается к:
- 'ti####w.nist.gov':13
- 'ni###.datum.com':13
- 'ni#####c.glassey.com':13
- 'ji####ip.vicp.net':8889
- 'ut#####.colorado.edu':13
- 'localhost':1039
UDP:
- DNS ASK ni#####c.glassey.com
- DNS ASK ni#####j.glassey.com
- DNS ASK ni###.##l-ca.truetime.com
- DNS ASK ni###.datum.com
- DNS ASK ji####ip.vicp.net
- DNS ASK ut#####.colorado.edu
- DNS ASK ti####w.nist.gov
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: '<FileDown>'
- ClassName: '' WindowName: '<????????????????>'
- ClassName: '18467-41' WindowName: ''
- ClassName: '4823-00000029' WindowName: ''
