Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '\TOS_]fSSOUXMNiWRSN' = '<SYSTEM32>\ipitn.exe'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Cредство проверки системных файлов (SFC)
- Центр обеспечения безопасности (Security Center)
Запускает на исполнение:
- '<SYSTEM32>\netsh.exe' firewall set opmode mode=disable profile=all
- '<SYSTEM32>\sc.exe' config SharedAccess start= disabled
Скрывает следующие процессы:
- <Полный путь к вирусу>
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\ipitn.exe
- <Полный путь к вирусу>
Изменяет файл HOSTS.
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\1.tmp
Сетевая активность:
UDP:
- DNS ASK yu####z.1dumb.com
- DNS ASK ma#####01.mx.aol.com
- DNS ASK mc###i.3-a.net
- DNS ASK ma#####04.mx.aol.com
- DNS ASK mx#.mail.ru
- DNS ASK ma##.#arthlink.net
- DNS ASK mx#.#otmail.com
