Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'userinit' = '<SYSTEM32>\userinit.exe,%WINDIR%\apppatch\fmkstpu.dat,'
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\cscript.exe
- <SYSTEM32>\winlogon.exe
следующие пользовательские процессы:
- smc.exe
- skype.exe
- RagFree.exe
- sro_client.exe
- spidernt.exe
- so3d.exe
- Ragexe.exe
- opera.exe
- nod32.exe
- nod.exe
- qip.exe
- pidgin.exe
- outpost.exe
- trillian.exe
- zapro.exe
- ybclient.exe
- YahooMessenger.exe
- ZZ__cd75efb816b2cc__.exe
- ZONEALARM.EXE
- zlclient.exe
- wsm.exe
- winbaram.exe
- WebMoney.exe
- TwelveSky2.exe
- wow.exe
- woool.exe
- windump.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\AppPatch\fmkstpu.dat
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\3B86.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.bing.com':80
UDP:
- DNS ASK bl####uiltiness.com
- DNS ASK www.bing.com
