Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>' = '%WINDIR%\WinSxS\<Имя вируса>.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\hayede\<Имя вируса>.exe
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\ping.exe cloob.com -t -l 65000
- <SYSTEM32>\ping.exe datairan.net -t -l 65000
- <SYSTEM32>\ping.exe aminnet.net -t -l 65000
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\WinSxS\<Имя вируса>.exe
- C:\sex\<Имя вируса>.exe
- C:\saleb.exe
- C:\AUTORUN.INF
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\AUTORUN.INF
- C:\saleb.exe
Удаляет следующие файлы:
- <DRIVERS>\dmload.sys
- <DRIVERS>\mup.sys
- <SYSTEM32>\Restore\rstrui.exe
Перемещает следующие файлы:
- C:\sex\<Имя вируса>.exe в C:\sex\sexnew.avi .exe
- %WINDIR%\WinSxS\<Имя вируса>.exe в %WINDIR%\WinSxS\smss.exe
Сетевая активность:
Подключается к:
- 'localhost':1045
UDP:
- DNS ASK cl##b.com
- DNS ASK www.ce#####hezannella.it
- DNS ASK am##net.net
- DNS ASK da###ran.net
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
