Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ЎЎ] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\±Ј»¤ґъВл.cmd
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k imgsvc
- <SYSTEM32>\svchost.exe -k netsvcs
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'Filemonclass' WindowName: ''
- ClassName: 'Regmonclass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Lhij\Qhijklmno.bmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\d314aa0a40e6734cd45a11fc[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\index_open[1].html
- C:\Net-Temp.ini
- C:\±Ј»¤ґъВл.cmd
- C:\1289600.dll
- C:\NT_Path.jpg
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\Lhij\Qhijklmno.bmp
Удаляет следующие файлы:
- C:\±Ј»¤ґъВл.cmd
- C:\1289600.dll
- C:\Net-Temp.ini
- C:\NT_Path.jpg
Сетевая активность:
Подключается к:
- 'mo###.61.com':80
- 'wo######00733325.3322.org':8080
- 'localhost':1035
- 'hi.##idu.com':80
TCP:
Запросы HTTP GET:
- mo###.61.com/index_open.html
- hi.##idu.com/zhanyinn/item/d314aa0a40e6734cd45a11fc
UDP:
- DNS ASK wo######00733325.3322.org
- DNS ASK mo###.61.com
- DNS ASK hi.##idu.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: '4823-00000029' WindowName: ''
- ClassName: '18467-41' WindowName: ''
