Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'smss' = '%WINDIR%\smss.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winlogon' = '%WINDIR%\winlogon.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'csrss' = '%WINDIR%\csrss.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\csrss.exe
- %WINDIR%\smss.exe
- %WINDIR%\Hit.exe
- %WINDIR%\winlogon.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\wow.$$A
- %WINDIR%\winlogon.$$A
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\timer[1].txt
- %WINDIR%\degisken.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\degisken[1].txt
- %WINDIR%\timer.txt
- %WINDIR%\MSINET.$$A
- %WINDIR%\Hit.$$A
- %WINDIR%\csrss.$$A
- %WINDIR%\MSWINSCK.$$A
- %WINDIR%\tv.$$A
- %WINDIR%\tiklasana.$$A
- %WINDIR%\smss.$$A
Сетевая активность:
Подключается к:
- 'www.in###ftware.net':80
TCP:
Запросы HTTP GET:
- www.in###ftware.net/degisken.txt
- www.in###ftware.net/timer.txt
UDP:
- DNS ASK www.in###ftware.net
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'InstItClass' WindowName: ''
