Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunServices] 'Image' = 'rundll32 <Полный путь к вирусу>,Install'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Image' = 'rundll32 <Полный путь к вирусу>,Install'
Вредоносные функции:
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\ieij\dict.dat
- %WINDIR%\ieij\keywords.dat
- %WINDIR%\mshp.dll
- %WINDIR%\ieij\ieij.dll
- %WINDIR%\ieij\msiesh.dll
- %WINDIR%\ieij\mssearch.dll
Сетевая активность:
Подключается к:
- 'ie###dsl.com':80
TCP:
Запросы HTTP GET:
- ie###dsl.com/feat/keywords.dat
- ie###dsl.com/feat/dict.dat
- ie###dsl.com/feat/b00000.txt
- ie###dsl.com/feat/mshp.dll
- ie###dsl.com/feat/iefeatsl.dll
- ie###dsl.com/feat/update.txt
- ie###dsl.com/feat/mssearch.dll
- ie###dsl.com/feat/msiesh.dll
UDP:
- DNS ASK ie###dsl.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
