Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Intel' = '"%WINDIR%\Install_WM.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\RarSFX0\autorun.exe'
- '%PROGRAM_FILES%\Windows Media Player\phoenix.exe'
- '%PROGRAM_FILES%\AlawarCRACK_14-03-2012.exe'
- '%WINDIR%\Install_WM.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Windows Media Player\phoenix.exe
- %PROGRAM_FILES%\Windows Media Player\plugins\opencl\kernel.cl
- %TEMP%\apm1.tmp
- %PROGRAM_FILES%\Windows Media Player\phoenix.cfg
- %PROGRAM_FILES%\Windows Media Player\plugins\opencl\__init__.py
- %PROGRAM_FILES%\Windows Media Player\plugins\opencl\__init__.pyo
- %PROGRAM_FILES%\Windows Media Player\plugins\phatk2\__init__.pyo
- %PROGRAM_FILES%\Windows Media Player\plugins\phatk2\kernel.cl
- %PROGRAM_FILES%\Windows Media Player\plugins\phatk2\__init__.py
- %TEMP%\RarSFX0\autorun.exe
- %WINDIR%\Install_WM.exe
- %PROGRAM_FILES%\AlawarCRACK_14-03-2012.exe
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\temp_0.tmp
- %TEMP%\$inst\0001.tmp
- %TEMP%\RarSFX0\для веса\ComputerDesktopWallpapersCollection271_107.jpg
- %TEMP%\RarSFX0\для веса\ComputerDesktopWallpapersCollection271_108.jpg
- %TEMP%\RarSFX0\Patch.exe
- %TEMP%\RarSFX0\003.exe
Удаляет следующие файлы:
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\0001.tmp
- %TEMP%\$inst\temp_0.tmp
Сетевая активность:
Подключается к:
- 'pi#.#eepbit.net':8332
- '50##c.com':8332
- 'localhost':1039
UDP:
- DNS ASK pi#.#eepbit.net
- DNS ASK 50##c.com
Другое:
Ищет следующие окна:
- ClassName: 'EDIT' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
