Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\6to4] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Del1.tmp -delete 1884 "%TEMP%\xx5330.exe"
- %TEMP%\xx5330.exe
- %TEMP%\~tmp.tmp <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\xx5330.exe
- %TEMP%\~mstmp.cpt
- <SYSTEM32>\msxml32.dll
- %WINDIR%\Temp\~tmp0e212f81.old
- C:\Del1.tmp
- %APPDATA%\Microsoft\Crypto\RSA\S-1-5-21-2052111302-484763869-725345543-1003\ec702f375e1b12d218f67ab9ef19ca23_23ef5514-3059-436f-a4a7-4cefaab20eb1
- %TEMP%\Atlist.doc~tmp.zip
- %TEMP%\~tmp.tmp
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\Preferred
- %APPDATA%\Microsoft\Protect\S-1-5-21-2052111302-484763869-725345543-1003\8dfd5d62-ea93-4a3c-9abe-2e7a155315dd
Удаляет следующие файлы:
- %TEMP%\xx5330.exe
- %TEMP%\Atlist.doc~tmp.zip
Перемещает следующие файлы:
- %TEMP%\~mstmp.cpt в %TEMP%\Atlist.doc~tmp.zip
Самоперемещается:
- из <Полный путь к вирусу> в <Текущая директория>\<Имя вируса>.doc
Сетевая активность:
Подключается к:
- 'gu####008.9966.org':5330
UDP:
- DNS ASK gu####008.9966.org
- DNS ASK ns#.#hina.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'WordPadClass' WindowName: ''
