Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] 'KM_Path2' = ''
Вредоносные функции:
Принудительно разрешает автозапуск со съемных носителей.
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\usmt\page
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\kimoooom.blogspot[1]
- <SYSTEM32>\winmine.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\kmsender.blogspot[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\kamba.0fees[1]
- <SYSTEM32>\netsh.exe
- <SYSTEM32>\usmt\page
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\kimoooom.blogspot[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\kmsender.blogspot[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\kamba.0fees[1]
Сетевая активность:
Подключается к:
- 'www.ka###.0fees.net':80
- 'km#####r.blogspot.com':80
- 'localhost':1039
- 'ki#####m.blogspot.com':80
TCP:
Запросы HTTP GET:
- km#####r.blogspot.com/
- www.ka###.0fees.net/
- ki#####m.blogspot.com/
UDP:
- DNS ASK km#####r.blogspot.com
- DNS ASK www.ka###.0fees.net
- DNS ASK ki#####m.blogspot.com
