Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\6to4] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\TempDel.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SLQJGXUV\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NZU32DDN\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\VPUPVKFQ\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NZU32DDN\31[1].txt
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OTMP6VKN\desktop.ini
- %TEMP%\TempFile.Log
- %TEMP%\TempAdv.dll
- <SYSTEM32>\ShowIP.dll
- %TEMP%\TempDel.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\VPUPVKFQ\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\OTMP6VKN\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\NZU32DDN\desktop.ini
- C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\SLQJGXUV\desktop.ini
Удаляет следующие файлы:
- %TEMP%\TempAdv.dll
- %TEMP%\TempFile.sys
Перемещает следующие файлы:
- %TEMP%\TempFile.Log в %TEMP%\TempFile.sys
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.ip###ugou.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.ip###ugou.com/bbs/txt/31.txt
UDP:
- DNS ASK www.ip###ugou.com
