Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{74b5f312-b0f6-11d0-94ab-0080c74c7e95}] 'StubPath' = '%WINDIR%\web\wallpaper.pif'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\RNetMeeting Remote] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\RNetMeeting Remote.exe'
- 'C:\ok.exe'
- 'C:\server.exe'
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c c:\del_fxuvnme.bat
- '<SYSTEM32>\conime.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\conime.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\_eviip.tmp
- %WINDIR%\Fonts\775d4ef4d8803e9e347756f154f6c574.dat
- C:\del_fxuvnme.bat
- %TEMP%\BClib\krnln.fnr
- %TEMP%\BClib\krnln.fne
- %TEMP%\BClib\Exmlrpc.fne
- %TEMP%\BClib\dp1.fne
- <SYSTEM32>\RNetMeeting Remote.dll
- %WINDIR%\Web\wallpaper.pif
- C:\ok.exe
- C:\server.exe
- %TEMP%\E_4\krnln.fnr
- <SYSTEM32>\RNetMeeting Remote.exe
- %TEMP%\E_4\dp1.fne
- %TEMP%\E_4\Exmlrpc.fne
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\RNetMeeting Remote.dll
- %WINDIR%\Web\wallpaper.pif
- <SYSTEM32>\RNetMeeting Remote.exe
Удаляет следующие файлы:
- C:\ok.exe
- C:\server.exe
Сетевая активность:
Подключается к:
- 'yw##.gnway.net':19820
- 'yw##.3322.org':19820
- '81###5.3322.org':1764
UDP:
- DNS ASK yw##.gnway.net
- DNS ASK yw##.3322.org
- DNS ASK 81###5.3322.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
