Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует:
- Средство контроля пользовательских учетных записей (UAC)
Запускает на исполнение:
- '%WINDIR%\regedit.exe' /s "%APPDATA%\%USERNAME%.reg"
- '<SYSTEM32>\cmd.exe' /c ""C:\parco.bat""
- '<SYSTEM32>\cmd.exe' /c ""C:\credi.bat""
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings] 'WarnonBadCertRecving' = '00000000'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Internet Explorer.lnk
- %HOMEPATH%\Desktop\Internet Explorer.lnk
- %APPDATA%\%USERNAME%.reg
- C:\parco.txt
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk
- C:\mitos.pac
- C:\lazer.gif
- C:\credi.txt
- <DRIVERS>\etc\lmhosts
Присваивает атрибут 'скрытый' для следующих файлов:
- C:\mitos.pac
- <DRIVERS>\etc\lmhosts
Удаляет следующие файлы:
- C:\lazer.gif
- %APPDATA%\%USERNAME%.reg
- C:\parco.bat
- C:\credi.bat
- <DRIVERS>\etc\hosts
- <DRIVERS>\etc\lmhosts.sam
- %HOMEPATH%\Desktop\Internet Explorer.lnk
Перемещает следующие файлы:
- C:\parco.txt в C:\parco.bat
- C:\credi.txt в C:\credi.bat
Подменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Internet Explorer.lnk
- %HOMEPATH%\Desktop\Internet Explorer.lnk
Подменяет файл HOSTS.
Сетевая активность:
Подключается к:
- '21#.#2.83.130':8081
- '21#.#2.83.130':80
- 'localhost':1039
TCP:
Запросы HTTP GET:
- http://21#.#2.83.130/images/data/readme.txt
- http://21#.#2.83.130/images/data/newconrad.txt
- http://21#.#2.83.130/data/cnrgw.gif
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'RegEdit_RegEdit' WindowName: ''
