Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Diagnostic Manager' = '<Полный путь к вирусу>'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Изменяет следующие настройки проводника Windows (Windows Explorer):
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 'NoFolderOptions' = '00000001'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sh[1].php
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\sh[1].php
Сетевая активность:
Подключается к:
- 'mi###five.info':80
TCP:
Запросы HTTP GET:
- mi###five.info/ff/sh.php?ve#####
UDP:
- DNS ASK mi###five.info
Другое:
Ищет следующие окна:
- ClassName: 'jks387sfij3d' WindowName: 'qw3qr98fjiokmgf0'
- ClassName: 'loto82' WindowName: 'Systems'
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'uhsf387ihjsfn3f' WindowName: 'fs3h98rw3jbnr873'
- ClassName: 'clk_gfjk' WindowName: 'clk_jdfhid'
- ClassName: 'jhsf78i3ujnkdsvc' WindowName: 'sdfcj9w83jkdmfnf'
- ClassName: 'zimbabo_rulit' WindowName: 'ugagagaga_hapulotos'
- ClassName: 'kf8wjoknfd' WindowName: 'wui3h83whjndf7'
