Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'keyis' = '"<Полный путь к файлу>"'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\mshta.exe' "<HTML><HEAD><HTA:APPLICATION APPLICATIONNAME='GetParentPID' WINDOWSTATE='minimize' SHOWINTASKBAR='no'</HEAD></HTML>"
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\mshta.exe
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
Сетевая активность:
Подключается к:
- '94.##0.191.201':25
- 'www.wh###smyip.com':80
- 'localhost':1039
TCP:
Запросы HTTP GET:
- http://www.wh###smyip.com/automation/n09230945.asp
UDP:
- DNS ASK sm##.mail.ru
- DNS ASK www.wh###smyip.com
