Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\tkdska] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\setup.exe'
Запускает на исполнение:
- '<SYSTEM32>\runonce.exe' -r
- '<SYSTEM32>\svchost.exe' -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\inf\oem3.inf
- %WINDIR%\setup.exe
- <DRIVERS>\SET3.tmp
- %WINDIR%\inf\oem3.PNF
- %WINDIR%\vkeysky.sys
- %TEMP%\187484_res.tmp
- %WINDIR%\exeinput.exe
- %WINDIR%\vkeysky.inf
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\187468.dll
Перемещает следующие файлы:
- <DRIVERS>\SET3.tmp в <DRIVERS>\vkeysky.sys
- %TEMP%\187484_res.tmp в <SYSTEM32>\187468.dll
Самоудаляется.
Сетевая активность:
Подключается к:
- 'tk####.codns.com':4412
UDP:
- DNS ASK tk####.codns.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
