Техническая информация
Вредоносные функции:
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s desktop.reg
- '%WINDIR%\explorer.exe' http://20##0.com
- '<SYSTEM32>\cmd.exe' /c ""<Текущая директория>\kill.bat""
- '<SYSTEM32>\cmd.exe' /c %WINDIR%\desktop.bat
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\desktop.reg
- %WINDIR%\mp3.ico
- %WINDIR%\desktop.bat
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\20780[1]
- %WINDIR%\dy.ico
- %WINDIR%\IE.ico
- <Текущая директория>\kill.bat
- %WINDIR%\cy.ico
- %WINDIR%\mm.ico
- %WINDIR%\taobao.ico
Удаляет следующие файлы:
- %TEMP%\~DF18C2.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- '20##0.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- 20##0.com/
UDP:
- DNS ASK 20##0.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: '' WindowName: '(null)'
