Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemup' = '"%WINDIR%\systemup.exe" stand'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\netstat.exe' -ano
- '%WINDIR%\systemup.exe' stand
- '<SYSTEM32>\taskkill.exe' /F /IM systemup.exe
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\systemup.exe
Сетевая активность:
Подключается к:
- 'to###ar.li.ru':80
- 'do###oad.qip.ru':80
- '93.##8.134.11':80
- 'su####arsinfo.net':80
- '25#.#55.255.255':8080
TCP:
Запросы HTTP GET:
- http://do###oad.qip.ru/pda/qippda2140.cab
- http://su####arsinfo.net/udp/knock.php?ve#################################
- http://to###ar.li.ru/toolbar_setup.exe
- http://su####arsinfo.net/distrib_serv/ip_list.php
- http://do####ad.yandex.ru/bar/firefox/YandexBar.xpi via 93.##8.134.11
UDP:
- DNS ASK to###ar.li.ru
- DNS ASK do###oad.qip.ru
- DNS ASK do####ad.yandex.ru
- DNS ASK yandex.ru
- DNS ASK su####arsinfo.net
Другое:
Ищет следующие окна:
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: '' WindowName: ''
