Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe prwnr.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\AUTORUN.INF
- <Имя диска съемного носителя>:\ccc.exe
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\prwnr.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\prwnr.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\ccc.exe
- <Имя диска съемного носителя>:\AUTORUN.INF
- <Полный путь к вирусу>
- %WINDIR%\prwnr.exe
Удаляет следующие файлы:
- %TEMP%\~DFCA8A.tmp
Сетевая активность:
Подключается к:
- 'jd###.no-ip.org':675
UDP:
- DNS ASK jd###.no-ip.org
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Administrador de tareas de Windows'
