Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\OutputHost] 'Start' = '00000002'
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
- расширений файлов
Создает и запускает на исполнение:
- 'C:\RECYCLER\abcd.exe' dbgenum
- 'C:\RECYCLER\abcd.exe' install "<SYSTEM32>\in\userm\Update.exe"
- '<SYSTEM32>\in\userm\Update.exe'
Запускает на исполнение:
- '<SYSTEM32>\attrib.exe' c:\recycler +s +h
- '<SYSTEM32>\systeminfo.exe'
- '<SYSTEM32>\ipconfig.exe' /all
- '<SYSTEM32>\wscript.exe' "<SYSTEM32>\in\userm\in.vbs"
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\in\userm\in.bat" "
- '<SYSTEM32>\attrib.exe' <SYSTEM32>\in +s +h
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\w直wii蚫
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\make_status[1].php
- C:\RECYCLER\cache\1ip.txt
- C:\RECYCLER\cache\1Systeminfo.txt
- C:\RECYCLER\abcd.exe
- <SYSTEM32>\in\userm\Update.exe
- <SYSTEM32>\in\userm\More Women Join Ranks of Suicide Bombers in Pakistan.doc
- <SYSTEM32>\in\userm\in.vbs
- <SYSTEM32>\in\userm\in.bat
Сетевая активность:
Подключается к:
- 'www.se####.#endetta-series.info':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- www.se####.#endetta-series.info/make_status.php?h=######################
UDP:
- DNS ASK www.se####.#endetta-series.info
Другое:
Ищет следующие окна:
- ClassName: 'WordPadClass' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
