Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '<Полный путь к вирусу>'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\sc.exe delete wscsvc
- <SYSTEM32>\net.exe stop wscsvc
- <SYSTEM32>\net1.exe stop sharedaccess
- <SYSTEM32>\net1.exe stop wscsvc
- <SYSTEM32>\net1.exe stop MpsSvc
- <SYSTEM32>\sc.exe delete MpsSvc
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\msinet.ocx
- <SYSTEM32>\regsvr32.exe /s <SYSTEM32>\MSWINSCK.OCX
- <SYSTEM32>\net.exe stop sharedaccess
- <SYSTEM32>\net.exe stop MpsSvc
- <SYSTEM32>\sc.exe delete sharedaccess
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\ip[1].php
- <SYSTEM32>\msinet.ocx
- <SYSTEM32>\MSWINSCK.OCX
Сетевая активность:
Подключается к:
- 'any':4488
- 'ir#.##ter-all.org':6667
- 'localhost':1040
- 'm-#.#yndns.org':80
TCP:
Запросы HTTP GET:
- m-#.#yndns.org/xampp/ip.php
UDP:
- DNS ASK ir#.##ter-all.org
- DNS ASK m-#.#yndns.org
