Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"<SYSTEM32>\1025\mirc.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"<SYSTEM32>\1025\mirc.exe" -noconnect'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 'Microsoft Service' = '<SYSTEM32>\hidden\mirc.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- '<SYSTEM32>\1025\mirc.exe'
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /S mirc.reg
- '%WINDIR%\msagent\agentsvr.exe' -Embedding
- '<SYSTEM32>\cmd.exe' /c ""<SYSTEM32>\1025\start.bat" "
- '%WINDIR%\regedit.exe' /S autostart.reg
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\1025\servers.ini
- <SYSTEM32>\1025\script.mrc
- <SYSTEM32>\1025\script2.mrc
- <SYSTEM32>\1025\start.bat
- <SYSTEM32>\1025\icon.ico
- <SYSTEM32>\1025\autostart.reg
- <SYSTEM32>\1025\urls.ini
- <SYSTEM32>\1025\script1.mrc
- <SYSTEM32>\1025\mirc.ini
- <SYSTEM32>\1025\mirc.exe
- <SYSTEM32>\1025\mem.dll
- <SYSTEM32>\1025\mirc.reg
- <SYSTEM32>\1025\remote.ini
- <SYSTEM32>\1025\registry.dll
- <SYSTEM32>\1025\process.exe
Сетевая активность:
Подключается к:
- 'th###lin.com':2089
UDP:
- DNS ASK th###lin.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: '(null)'
- ClassName: 'Shell_TrayWnd' WindowName: '(null)'
- ClassName: 'EDIT' WindowName: '(null)'
