Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WinNelte_2008] 'Start' = '00000002'
Изменяет следующие исполняемые системные файлы:
- <DRIVERS>\beep.sys
Вредоносные функции:
Создает и запускает на исполнение:
- '%WINDIR%\WinNelte.exe'
Запускает на исполнение:
- '<SYSTEM32>\svchost.exe' 39498
Ищет следующие окна с целью
обнаружения утилит для анализа:
- ClassName: 'OLLYDBG' WindowName: ''
- ClassName: 'FileMonClass' WindowName: ''
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\27868123.tmp
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\WinNelte.exe
Перемещает следующие файлы:
- %TEMP%\27868123.tmp в %WINDIR%\WinNelte.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- '39###.rhelper.com':2009
UDP:
- DNS ASK 39###.rhelper.com
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: 'Цч¶Ї·АУщ РЕПў'
- ClassName: 'Afx:400000:0' WindowName: ''
- ClassName: '18467-41' WindowName: ''
- ClassName: '' WindowName: '???????? ????'
