Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\Tasks\conime.exe'
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\conime.exe
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinHelp360] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\WinHelp360.exe'
- '%WINDIR%\Tasks\conime.exe'
- '%TEMP%\122424.exe'
- '<SYSTEM32>\110.exe'
- '%TEMP%\216565.exe'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\4989054611314520[1].txt
- C:\boot
- <SYSTEM32>\WinHelp360.exe
- <SYSTEM32>\110.exe
- %TEMP%\216565.exe
- %TEMP%\122424.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\WinHelp360.exe
Удаляет следующие файлы:
- C:\boot
- %TEMP%\122424.exe
Перемещает следующие файлы:
- %TEMP%\216565.exe в %TEMP%\SOFTWARE.LOG
Сетевая активность:
Подключается к:
- 'localhost':1052
- 'www.52###0520.org':80
- 'qw###2.vicp.net':9898
- 'localhost':1035
- '61.##0.194.24':3308
TCP:
Запросы HTTP GET:
- www.52###0520.org/1/Count.asp?ma########################
- www.52###0520.org/4989054611314520.txt
UDP:
- DNS ASK www.52###0520.org
- DNS ASK qw###2.vicp.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
