Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Adobe Drivers' = 'C:\Users\Nevalopo\AppData\Roaming\svchost.exe'
Вредоносные функции:
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\FTPWare\COREFTP\Sites]
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U2L5LCH4\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0J8LY501\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\QXQP87K5\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\4TU7KLAZ\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\desktop.ini
- %TEMP%\1D6F2.dmp
- %TEMP%\dw.log
- %HOMEPATH%\Local Settings\History\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\desktop.ini
Присваивает атрибут 'скрытый' для следующих файлов:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\4TU7KLAZ\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\QXQP87K5\desktop.ini
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U2L5LCH4\desktop.ini
- <Полный путь к вирусу>
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0J8LY501\desktop.ini
Сетевая активность:
Подключается к:
- 'sm##.gmail.com':587
UDP:
- DNS ASK sm##.gmail.com
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'Indicator' WindowName: ''
