Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'services' = '<Полный путь к вирусу>'
Вредоносные функции:
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2] '1407' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4] '1407' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1407' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1407' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0] '1407' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\service\service.dll~
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\ptah[1].jpg
- <SYSTEM32>\service\log.log
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\queops[1].jpg
Сетевая активность:
Подключается к:
- 'ha####ra.hdfree.la':80
- 'st####ny.hdfree.la':80
- 'localhost':1038
- '74.##5.232.51':80
- 'sm##.#erra.com.br':25
TCP:
Запросы HTTP GET:
- st####ny.hdfree.la/ptah.jpg
- ha####ra.hdfree.la/queops.jpg
UDP:
- DNS ASK ha####ra.hdfree.la
- DNS ASK st####ny.hdfree.la
- DNS ASK sm##.#erra.com.br
- DNS ASK www.google.com
- '<IP-адрес в локальной сети>':1035
