Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] '<Имя вируса>.exe' = '%APPDATA%\Microsoft\Crypto\RSA\S-4-1-42-1042472745-3219004427-FF26691263\<Имя вируса>.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<Текущая директория>\Maj.exe'
- '<Текущая директория>\Maj.exe' (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- <Текущая директория>\filename.hf
- <Текущая директория>\Maj.exe
- %APPDATA%\Microsoft\Crypto\RSA\S-4-1-42-1042472745-3219004427-FF26691263\<Имя вируса>.exe
Сетевая активность:
Подключается к:
- 'localhost':1039
- 'hf######e.altervista.org':80
- 'wp#d':80
TCP:
Запросы HTTP GET:
- hf######e.altervista.org/Visitor/sitelist0.hf
- hf######e.altervista.org/Visitor/down.hf
- hf######e.altervista.org/Visitor/index.php
- hf######e.altervista.org/Visitor/sitelist1.hf
- wp#d/wpad.dat
- hf######e.altervista.org/Visitor/vers2.hf
- hf######e.altervista.org/Visitor/clients/maj-Synapse.hf
UDP:
- DNS ASK hf######e.altervista.org
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: '(null)'
- ClassName: 'MS_WebcheckMonitor' WindowName: '(null)'
- ClassName: 'Indicator' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
