Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\WMMNetworkQsm] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\wciwsw.exe
- C:\winX86-6021125.scr /S
- C:\system
Запускает на исполнение:
- <SYSTEM32>\svchost.exe
- <SYSTEM32>\sc.exe start WMMNetworkQsm
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\q1[1].jpg
- C:\log.txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\list[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\SL6TKFAX\list[1].txt
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\ULU3YH2D\q1[1].jpg
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\q0[1].jpg
- %PROGRAM_FILES%\wciwsw.exe
- C:\system
- <SYSTEM32>\x86-ms6012453.log
- <SYSTEM32>\x86-ms6012452.log
- %TEMP%\kb-172671.tmp
Удаляет следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\q1[1].jpg
Сетевая активность:
Подключается к:
- 'any':0
- 'up####.qidianddos.com':80
- 'xi####ao.gnway.net':5533
- 'jj.##77888.com':80
TCP:
Запросы HTTP GET:
- up####.qidianddos.com/list.txt
- jj.##77888.com/temp/q1.jpg
- jj.##77888.com/temp/q0.jpg
UDP:
- DNS ASK jj.##77888.com
- DNS ASK up####.qidianddos.com
- DNS ASK xi####ao.gnway.net
- '<IP-адрес в локальной сети>':1034
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
