Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Alg' = 'C:\alg.exe'
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции:
Создает и запускает на исполнение:
- C:\alg.exe
Запускает на исполнение:
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Default_Page_URL" /t reg_sz /d http://www.11##.com/?13# /f
- <SYSTEM32>\reg.exe add "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t reg_sz /d http://www.11##.com/?13# /f
- <SYSTEM32>\cmd.exe /c %WINDIR%\IE.Bat
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\tj.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\Post[1].Asp
- %WINDIR%\IE.Bat
- %WINDIR%\bj.txt
- %ALLUSERSPROFILE%\Documents\My Videos\PulgFile.log
- %TEMP%\Temp\НЁУГ.exe
- %TEMP%\Temp\82.exe
- C:\alg.exe
- <Текущая директория>\hello_tt.sys
Присваивает атрибут 'скрытый' для следующих файлов:
- %ALLUSERSPROFILE%\Documents\My Videos\Vanzod.tmp
Удаляет следующие файлы:
- <Текущая директория>\hello_tt.sys
Сетевая активность:
Подключается к:
- 'localhost':1043
- '61.##7.116.84':2011
- '12#.#sx50.info':8080
- 'localhost':1035
- '12#.#sx50.info':80
TCP:
Запросы HTTP GET:
- 12#.#sx50.info/82/Post.Asp?us##########################################################################################################
UDP:
- DNS ASK 12#.#sx50.info
- '<IP-адрес в локальной сети>':1036
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
