Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'SystemHost' = '%APPDATA%\svchost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%APPDATA%\jusched.exe'
- '%APPDATA%\svchost.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\MT2Login.ini
- %APPDATA%\svchost.exe
- %APPDATA%\%USERNAME%.0FABFBFF000206D7.ini
- %TEMP%\aut3.tmp
- %APPDATA%\jusched.exe
- %TEMP%\jusched.exe
- %TEMP%\aut1.tmp
- %TEMP%\svchost.exe
- %TEMP%\aut2.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\svchost.exe
- %APPDATA%\jusched.exe
Удаляет следующие файлы:
- %TEMP%\svchost.exe
- %TEMP%\aut3.tmp
- %TEMP%\jusched.exe
- %TEMP%\aut1.tmp
- %TEMP%\aut2.tmp
Сетевая активность:
Подключается к:
- 'www.wa###men.cba.pl':80
TCP:
Запросы HTTP GET:
- www.wa###men.cba.pl/clients/All.txt
- www.wa###men.cba.pl/clients/URNXYMAV.0FABFBFF000206D7.txt
Запросы HTTP POST:
- www.wa###men.cba.pl/index.php
UDP:
- DNS ASK www.wa###men.cba.pl
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
