Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Nod32' = '%WINDIR%\system\winlogon.exe'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\htdaaccess[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\htdaaccess[1]
- %WINDIR%\system\winlogon.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\htdaccess[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\htdaaccess[1]
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\system\winlogon.exe
Удаляет следующие файлы:
- <DRIVERS>\etc\hosts
Изменяет файл HOSTS.
Сетевая активность:
Подключается к:
- 're#####ment.ucdsu.ie':80
- 'ga###edmond.ie':80
- 'm2##id.com':80
- 'localhost':1037
- 'ga####muriel.com':80
TCP:
Запросы HTTP GET:
- re#####ment.ucdsu.ie/components/htdaaccess
- ga###edmond.ie/wp-content/plugins/htdaaccess
- ga####muriel.com/imagenes/htdaccess
- m2##id.com/tmp/images/htdaaccess
UDP:
- DNS ASK re#####ment.ucdsu.ie
- DNS ASK ga###edmond.ie
- DNS ASK ga####muriel.com
- DNS ASK m2##id.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
