Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Hostprozess fur Windows-Dienste' = '%APPDATA%\Microsoft\svchost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\SVCHOST_UPDATE.exe'
- '%APPDATA%\Microsoft\svchost.exe'
- '%TEMP%\PSC.sfx.exe' -ponline123 -d%HOMEPATH%\Local Settings\Temp
- '%TEMP%\PaySafe Card Codegenerator.exe'
Запускает на исполнение:
- '<SYSTEM32>\ping.exe' 1.1.1.1 -n 1 -w 20000
- '<SYSTEM32>\wscript.exe' "%TEMP%\new.vbs"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\Microsoft\svchost.exe
- %TEMP%\dw.log
- %TEMP%\3E83E.dmp
- %TEMP%\SVCHOST_UPDATE.exe
- %TEMP%\PSC.sfx.exe
- %TEMP%\new.vbs
- %TEMP%\PaySafe Card Codegenerator.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %APPDATA%\Microsoft\svchost.exe
Удаляет следующие файлы:
- %TEMP%\SVCHOST_UPDATE.exe
Сетевая активность:
Подключается к:
- 'si####new.funpic.de':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- si####new.funpic.de/image.jpeg
- wp#d/wpad.dat
UDP:
- DNS ASK si####new.funpic.de
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
