Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\RunOnce] 'Windows Networking' = '"C:\803747\networking.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = 'userinit.exe,"<SYSTEM32>\clientsvr.exe"'
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\x9FwL.lnk
Вредоносные функции:
Создает и запускает на исполнение:
- 'C:\803747\networking.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- C:\803747\networking.exe
- <SYSTEM32>\clientsvr.exe
- %APPDATA%\H94gD8hIi\6564.xml
- C:\c37fde1980e58c64f992a4ffbfb6468fcffc400c
Присваивает атрибут 'скрытый' для следующих файлов:
- <Полный путь к вирусу>
- C:\803747\networking.exe
- C:\c37fde1980e58c64f992a4ffbfb6468fcffc400c
Перемещает следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\x9FwL.lnk в %TEMP%\8932
- %APPDATA%\H94gD8hIi\6564.xml в %APPDATA%\H94gD8hIi\x9FwL.exe
Самоперемещается:
- из <Полный путь к вирусу> в %TEMP%\7181
Сетевая активность:
Подключается к:
- 'll.###mtoroot.com':1065
- 'DE####ROPHET.org':1065
UDP:
- DNS ASK ll.###mtoroot.com
- DNS ASK DE####ROPHET.org
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
