Техническая информация
Вредоносные функции:
Внедряет код в
следующие системные процессы:
- %WINDIR%\Explorer.EXE
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\lsass.exe
- <SYSTEM32>\csrss.exe
- <SYSTEM32>\spoolsv.exe
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\09M3C5EV\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UL8RIPCN\gate[1].php
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UL8RIPCN\wpad[1].dat
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9PU6EJRT\desktop.ini
- %TEMP%\7af3996f
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UL8RIPCN\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SLE3CLMN\desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\9PU6EJRT\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\09M3C5EV\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\UL8RIPCN\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SLE3CLMN\desktop.ini
Удаляет следующие файлы:
- %TEMP%\7af3996f
Сетевая активность:
Подключается к:
- 'wpad.localdomain':80
- '<IP-адрес в локальной сети>':80
TCP:
Запросы HTTP GET:
- wpad.localdomain/wpad.dat
- <IP-адрес в локальной сети>/btn6/gate.php?dw####
- <IP-адрес в локальной сети>/btn6/gate.php?in######################################
UDP:
- DNS ASK wpad.localdomain
