Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe,<SYSTEM32>\oobe\winlogon.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Internet Explorer\Main] 'Window Title' = 'Microsoft Internet Explorer'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\background[1].jpg
- %WINDIR%\system\winlogon.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\tad[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\tad[1].jpg
- %WINDIR%\mui\ga2.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\right[1].gif
- <SYSTEM32>\hookdll.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\background[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\right[1].gif
Самоперемещается:
- из <Полный путь к вирусу> в <SYSTEM32>\oobe\winlogon.exe
Сетевая активность:
Подключается к:
- 'ww###.websamba.com':80
- 'mu###dl.t35.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- ww###.websamba.com/vnupload/img/background.jpg
- mu###dl.t35.com/img/tad.jpg
- ww###.websamba.com/vnupload/img/tad.jpg
- mu###dl.t35.com/img/right.gif
- ww###.websamba.com/vnupload/img/right.gif
- mu###dl.t35.com/img/background.jpg
UDP:
- DNS ASK ww###.websamba.com
- DNS ASK mu###dl.t35.com
