Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows DLL Loader' = '%WINDIR%\system\babawurm.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\system\babawurm.exe
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""<Текущая директория>\rqtltwco.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\rqtltwco.bat
- %WINDIR%\system\babawurm.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\system\babawurm.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'ir#.###vercentral.net':6667
- 'ir#.#omelien.no':6667
- 'ir#.#esync.com':6667
- 'ir#.dks.ca':6667
- 'ir#.nac.net':6667
- 'ir#.#hoopa.net':6667
- 'ir#.##et.tele.dk':6667
- 'ir#.##alonworks.ca':6667
- 'ir#.#axnet.no':6667
- 'ir#.#lessed.net':6667
- 'ir#.#anetele.no':6667
- 'ir#.#fnet.pl':6667
- 'ir#.#zima.net':6667
- 'ir#.du.se':6667
- 'ir#.#fnet.nl':6667
UDP:
- DNS ASK ir#.###vercentral.net
- DNS ASK ir#.#omelien.no
- DNS ASK ir#.#esync.com
- DNS ASK ir#.dks.ca
- DNS ASK ir#.nac.net
- DNS ASK ir#.#hoopa.net
- DNS ASK ir#.##et.tele.dk
- DNS ASK ir#.##alonworks.ca
- DNS ASK ir#.#axnet.no
- DNS ASK ir#.#lessed.net
- DNS ASK ir#.#anetele.no
- DNS ASK ir#.#fnet.pl
- DNS ASK ir#.#zima.net
- DNS ASK ir#.du.se
- DNS ASK ir#.#fnet.nl
