Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows] 'load' = '<SYSTEM32>\AFA3.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\AFA3.exe
- <SYSTEM32>\88EE.exe -bb
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c "<SYSTEM32>\AFA3tmp.bat"
- <SYSTEM32>\cmd.exe /c "<Текущая директория>\<Имя вируса>tmp.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\list[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\online[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\list[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\list[1]
- <SYSTEM32>\AFA3tmp.bat
- <SYSTEM32>\88EE.exe
- <SYSTEM32>\MSWINSCK.OCX
- <Текущая директория>\<Имя вируса>tmp.bat
- <SYSTEM32>\AFA3.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\88EE.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'b.##755.cn':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- b.##755.cn/v19//list/?s=###################################################################
- b.##755.cn/v19//list/?s=###########################################################
- b.##755.cn/v19//online/?s=###########################################################################################################################
UDP:
- DNS ASK b.##755.cn
