Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\uic\Shell\Open\Command] '' = '"Rundll32.exe" "%WINDIR%\windows128\nwinms.inn" readfile'
Создает или изменяет следующие файлы:
- %ALLUSERSPROFILE%\Start Menu\Programs\Startup\honst.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\is-C0JK1.tmp\<Имя вируса>.tmp /SL5="$40032,1901261,53248,<Полный путь к вирусу>"
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe "%WINDIR%\windows128\swchar.cha" Restd
- <SYSTEM32>\rundll32.exe "%WINDIR%\windows128\mic32.mtu" Tostring
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\windows128\honst.uic
- %WINDIR%\windows128\infofile.tmp
- %WINDIR%\windows128\7cen.ico
- %WINDIR%\windows128\Config.ini
- %WINDIR%\windows128\mic32.mtu
- %WINDIR%\windows128\swchar.cha
- %WINDIR%\windows128\taobao.ico
- %WINDIR%\windows128\nwinms.inn
- %WINDIR%\windows128\rd.txt
- %TEMP%\is-LM9ML.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-LM9ML.tmp\InstallDll.dll
- %TEMP%\is-C0JK1.tmp\<Имя вируса>.tmp
- %TEMP%\is-LM9ML.tmp\_isetup\_RegDLL.tmp
- %PROGRAM_FILES%\newname\is-RV22E.tmp
- %PROGRAM_FILES%\newname\unins000.dat
- %WINDIR%\windows128\Install.tmp
- %PROGRAM_FILES%\newname\is-H2EAK.tmp
- %PROGRAM_FILES%\newname\is-QUFLP.tmp
Удаляет следующие файлы:
- %TEMP%\is-LM9ML.tmp\_isetup\_shfoldr.dll
- %TEMP%\is-C0JK1.tmp\<Имя вируса>.tmp
- %TEMP%\is-LM9ML.tmp\InstallDll.dll
- %TEMP%\is-LM9ML.tmp\_isetup\_RegDLL.tmp
Сетевая активность:
Подключается к:
- 'www.la##uyi.com':82
- 'localhost':1036
- '22#.#3.36.68':8080
UDP:
- DNS ASK www.la##uyi.com
- '<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
