Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%APPDATA%\Update\Windows Update.exe,'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%APPDATA%\Update\Windows Update.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Update' = '%APPDATA%\Update\Windows Update.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\2snu[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\generaldee[1]
- %APPDATA%\Update\Windows Update.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\psncodegenerator[1]
Сетевая активность:
Подключается к:
- 'ad#.ly':80
- 'ge###aldee.com':80
- 'localhost':1036
- 'www.ps#####generator.com':80
TCP:
Запросы HTTP GET:
- ge###aldee.com/
- ad#.ly/2snu
- www.ps#####generator.com/?i=######
UDP:
- DNS ASK www.yo##ube.com
- DNS ASK wp#d
- DNS ASK h1.##pway.com
- DNS ASK www.ps#####generator.com
- DNS ASK ad#.ly
- DNS ASK ge###aldee.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
