Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Norton System ' = '<SYSTEM32>\imgrt.scr'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\imgrt.scr (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c "%TEMP%\EZC1.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\EZC1.bat
- <SYSTEM32>\imgrt.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\carta[1].exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'localhost':1037
- 'www.fi####gratis.com.br':80
- 'localhost':1034
- 'ba######k.webcindario.com':80
TCP:
Запросы HTTP GET:
- www.fi####gratis.com.br/
- ba######k.webcindario.com/carta.exe
UDP:
- DNS ASK www.fi####gratis.com.br
- DNS ASK ba######k.webcindario.com
- '<IP-адрес в локальной сети>':1035
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
