Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\National] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Создает и запускает на исполнение:
- <SYSTEM32>\HSUpdate.exe
- %WINDIR%\system\Click14.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\5923wg[1]
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\count[1].asp
- <SYSTEM32>\HSUpdate.exe
- %WINDIR%\system\Click14.exe
- %TEMP%\j1.dll
Удаляет следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\count[1].asp
- %WINDIR%\system\Click14.exe
Сетевая активность:
Подключается к:
- 'www.he###2012.com':80
- 'www.xi###xueche.com':1212
- 'localhost':1035
- 'www.59##wg.com':80
TCP:
Запросы HTTP GET:
- www.he###2012.com/count.asp?ma#######################################
- www.59##wg.com/
UDP:
- DNS ASK www.he###2012.com
- DNS ASK www.xi###xueche.com
- DNS ASK www.59##wg.com
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Afx:400000:b:10011:1900015:0' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
