Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\Debugngv] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <Текущая директория>\1 .exe
- <Текущая директория>\1.exe
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k netsvcs
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\CF%E6%96%AD%E7%BD%91%E5%8A%A0%E9%80%9F[1]
- %PROGRAM_FILES%\wi134953nd.temp
- %WINDIR%\HowArMe.reg
- %WINDIR%\HowArMe.txt
- %WINDIR%\MySomeInfo.ini
- <Текущая директория>\1.exe
- %TEMP%\nsa2.tmp\System.dll
- %PROGRAM_FILES%\wi128921nd.temp
- <Текущая директория>\1 .exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Текущая директория>\1 .exe
- <Текущая директория>\1.exe
Удаляет следующие файлы:
- %WINDIR%\MySomeInfo.ini
- <SYSTEM32>\150562.bak
- <Текущая директория>\1 .exe
- %TEMP%\nsa2.tmp\System.dll
- %WINDIR%\HowArMe.txt
- %WINDIR%\HowArMe.reg
Сетевая активность:
Подключается к:
- 'zm##.wowip.kr':9201
- 'www.66##.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- www.66##.com/CF%E6%96%AD%E7%BD%91%E5%8A%A0%E9%80%9F
UDP:
- DNS ASK zm##.wowip.kr
- DNS ASK www.66##.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
