Техническая информация
Вредоносные функции:
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonBadCertRecving' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnOnZoneCrossing' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1601' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Desktop\SMART_HDD.lnk
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\SMART_HDD.lnk
- %HOMEPATH%\Start Menu\Programs\SMART HDD\Uninstall SMART HDD.lnk
- %ALLUSERSPROFILE%\Application Data\ZM-#g+ZN;)od31eP
- %HOMEPATH%\Start Menu\Programs\SMART HDD\SMART HDD.lnk
Самоперемещается:
- из <Полный путь к вирусу> в %ALLUSERSPROFILE%\Application Data\ZM-#g+ZN;)od31eP.exe
Сетевая активность:
Подключается к:
- 'ca###pathie.com':80
- 'sa####meolac.com':80
- 'ti####nedcar.com':80
- 'st####regoner.com':80
- 'na###epostc.com':80
- 're####mentwil.com':80
TCP:
Запросы HTTP GET:
- sa####meolac.com/support/s
- ca###pathie.com/support/sr
- ca###pathie.com/support/s
- ti####nedcar.com/support/sr
- ti####nedcar.com/support/s
- sa####meolac.com/support/sr
- na###epostc.com/support/sr
- st####regoner.com/support/sr
- na###epostc.com/s.php?0Q##########################################################################
- st####regoner.com/support/s
- na###epostc.com/support/s
- re####mentwil.com/support/sr
- re####mentwil.com/support/s
UDP:
- DNS ASK re####mentwil.com
- DNS ASK ca###pathie.com
- DNS ASK sa####meolac.com
- DNS ASK ti####nedcar.com
- DNS ASK st####regoner.com
- DNS ASK na###epostc.com
- '<IP-адрес в локальной сети>':1036
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
