Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE -new http://www.he##okav.cn/counter.html
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\config2[1].gif
- <SYSTEM32>\error_01.ini
- %TEMP%\versionx.xml
- %TEMP%\xzad
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\action[1].asp
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\config2[1].gif
- %TEMP%\versionx.xml
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\action[1].asp
Самоперемещается:
- из %TEMP%\temp.bmp в %WINDIR%\svchost.exe
- из <Полный путь к вирусу> в %TEMP%\temp.bmp
Сетевая активность:
Подключается к:
- 'localhost':1038
- 'www.he##okav.cn':80
- 'localhost':1035
- 'www.qq##83.cn':80
TCP:
Запросы HTTP GET:
- www.he##okav.cn/counter.html
- www.he##okav.cn/config2.gif
- www.qq##83.cn/action.asp?UI#########################
- www.qq##83.cn/plugin.asp?Pa#########################################################################
UDP:
- DNS ASK www.he##okav.cn
- DNS ASK www.qq##83.cn
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
