Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'srchost' = '%WINDIR%\system\srchost.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\system\srchost.exe
Запускает на исполнение:
- <SYSTEM32>\rundll32.exe <SYSTEM32>\shimgvw.dll,ImageView_Fullscreen %WINDIR%\potwierdzenie.JPG
- <SYSTEM32>\tskill.exe xcopy
- <SYSTEM32>\xcopy.exe %WINDIR%\system\*.tmp2 %WINDIR%\system\*.exe
- <SYSTEM32>\reg.exe ADD HKLM\software\microsoft\windows\currentversion\run /v srchost /d %WINDIR%\system\srchost.exe /f
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\system\srchost.exe
- %WINDIR%\potwierdzenie.JPG
- %HOMEPATH%\Recent\WINDOWS.lnk
- %HOMEPATH%\Recent\potwierdzenie.lnk
- %WINDIR%\system\u.bat
- %WINDIR%\1337lite.ini
- %WINDIR%\system\srchost.tmp2
- %WINDIR%\system\srchost.tmp
Сетевая активность:
Подключается к:
- '91.#97.13.7':8074
- '91.##7.13.12':8074
- '91.##7.13.33':8074
- '91.##7.13.14':8074
- '91.#97.13.6':8074
Другое:
Ищет следующие окна:
- ClassName: 'ShImgVw:CPreviewWnd' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
