Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Kris' = 'c:\Server.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\ЧоРВDNFЧФ¶ЇКХ»хDNF70ј¶ЧоРВЧФ¶ЇКХ»х.exe
- C:\Server.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\plugin\SYS.DLL
- C:\plugin\WINDOWEX5_01.DLL
- C:\plugin\MEDIA.DLL
- C:\plugin\REGDLL.DLL
- C:\plugin\FILE.DLL
- C:\plugin\SR.DLL
- %TEMP%\adcon\mm\tmpad.xml
- %APPDATA%\qmacro\qdisp.dll
- %TEMP%\ad-mymacro8.xml
- C:\plugin\PIC.DLL
- %TEMP%\mymacro.zip
- %TEMP%\3.tmp
- %TEMP%\plugin.zip
- %TEMP%\2.tmp
- C:\Server.exe
- C:\ЧоРВDNFЧФ¶ЇКХ»хDNF70ј¶ЧоРВЧФ¶ЇКХ»х.exe
- C:\plugin\WINDOW.DLL
- C:\plugin\COLOR.DLL
- C:\plugin\SRG.DLL
- C:\plugin\MEMORY.DLL
- C:\plugin\FINDPICTURE5_03.DLL
- C:\plugin\BKGND.DLL
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\ЧоРВDNFЧФ¶ЇКХ»хDNF70ј¶ЧоРВЧФ¶ЇКХ»х.exe
- C:\Server.exe
Удаляет следующие файлы:
- %TEMP%\adcon\mm\tmpad.xml
- %TEMP%\mymacro.zip
- %TEMP%\plugin.zip
Сетевая активность:
Подключается к:
- 'an####858.gicp.net':8050
UDP:
- DNS ASK an####858.gicp.net
