Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'softhello' = '<SYSTEM32>\rundll32.exe "%TEMP%\mwrichedt32.dll",Initialize0'
Вредоносные функции:
Запускает на исполнение:
- '<SYSTEM32>\rundll32.exe' "%TEMP%\mwrichedt32.dll",Initialize0
Внедряет код в
следующие пользовательские процессы:
- iexplore.exe
- firefox.exe
- chrome.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\YPORKZYZ\window[1].dat
- <LS_APPDATA>\msdb.dat
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\2VAZY7AN\url[1].dat
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\d[1]
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\c[1]
- <LS_APPDATA>\mswindow.dat
- %TEMP%\mwhook.dat
- %TEMP%\mwjet32.dat
- %TEMP%\mwrichedt32.dll
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\U98D4X8H\b[1]
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\a[1]
- %TEMP%\mwwar32.dat
Сетевая активность:
Подключается к:
- 'www.jp####esmall.info':80
TCP:
Запросы HTTP GET:
- http://www.jp####esmall.info/window.dat
- http://www.jp####esmall.info/index.php/user/c?ma###################
- http://www.jp####esmall.info/index.php/user/d?ma###################
- http://www.jp####esmall.info/index.php/user/a?ma###################
- http://www.jp####esmall.info/index.php/user/b?ma###################
- http://www.jp####esmall.info/url.dat
UDP:
- DNS ASK www.jp####esmall.info
