Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'wdmgrr.exe' = '<SYSTEM32>\wdmgr.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\wdmgr.exe
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\xwin.a
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\updconf[1].ini
- <SYSTEM32>\winddx.ini
- <Текущая директория>\xwin.b
- <SYSTEM32>\wdmgr.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\config[1].ini
- <SYSTEM32>\windx.ini
Удаляет следующие файлы:
- <SYSTEM32>\windx.ini
- <Текущая директория>\xwin.b
- <Текущая директория>\xwin.a
Сетевая активность:
Подключается к:
- 'www.ne##4.com':80
- 'www.fr#####ringtones.com':80
TCP:
Запросы HTTP GET:
- www.ne##4.com/updconf.ini?cn#######
- www.fr#####ringtones.com/config.ini?c=########
UDP:
- DNS ASK www.ne##4.com
- DNS ASK www.fr#####ringtones.com
