Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '<Текущая директория>\svchost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%CommonProgramFiles%\System\NOTEPAD.EXE'
- '%CommonProgramFiles%\System\NOTEPAD.EXE' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe' /s MSWINSCK.OCX
Изменения в файловой системе:
Создает следующие файлы:
- %CommonProgramFiles%\System\NOTEPAD.EXE
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\NOTEPAD[1].EXE
Сетевая активность:
Подключается к:
- 'ne##ei.cn':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- ne##ei.cn/menmen/NOTEPAD.EXE
UDP:
- DNS ASK ne##ei.cn
