Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'shell' = 'Explorer.exe cscan.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\b.exe
Запускает на исполнение:
- <SYSTEM32>\ntvdm.exe -f -i1
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\cscan.exe
- <SYSTEM32>\Lunar-Tools.zip
- %WINDIR%\Temp\scs2.tmp
- <Текущая директория>\Temp.exe
- <Текущая директория>\b.exe
- %WINDIR%\Temp\scs1.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\Temp.exe
Удаляет следующие файлы:
- %WINDIR%\Temp\scs2.tmp
- %WINDIR%\Temp\scs1.tmp
Сетевая активность:
Подключается к:
- 'mx.host':25
- 'mx#.host':25
- 'ma##.host':25
- 'ma##1.host':25
- 'ns.host':25
- '25#.#55.255.255':25
- 'any':6667
- 're##y.host':25
- 'sm##.host':25
- 'ga##.host':25
- 'ma#l.?':25
- 'ma#l1.?':25
- 'uk.##dernet.org':6667
- 'ga#e.?':25
- 'mx.?':25
- 're#ay.?':25
- 'sm#p.?':25
- 'mx#.?':25
- 'ns.?':25
UDP:
- DNS ASK ma##1.host
- DNS ASK mx.host
- DNS ASK ga##.host
- DNS ASK ma##.host
- DNS ASK re##y.host
- DNS ASK sm##.host
- DNS ASK mx#.host
- DNS ASK ns.host
- DNS ASK sm#p.?
- DNS ASK ma#l.?
- DNS ASK ma#l1.?
- DNS ASK uk.##dernet.org
- DNS ASK ga#e.?
- DNS ASK ns.?
- DNS ASK re#ay.?
- DNS ASK mx.?
- DNS ASK mx#.?
Другое:
Ищет следующие окна:
- ClassName: 'ConsoleWindowClass' WindowName: 'ntvdm-b40.b44.370001'
