Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'АЇЗШ»зАМЖ®ВчґЬ' = '%ProgramFiles%\sitelimit\slupd.exe -update'
Вредоносные функции:
Создает и запускает на исполнение:
- '%ProgramFiles%\sitelimit\sitelimit.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '%ProgramFiles%\sitelimit\sitelimit.exe'
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\sluninstall.exe
- <SYSTEM32>\SiteProt.dll
- %ProgramFiles%\sitelimit\sitelimit.cfg
- %ProgramFiles%\sitelimit\slupd.ex_
- %ProgramFiles%\sitelimit\sitelimit.exe
- %HOMEPATH%\Start Menu\Programs\АЇЗШ»зАМЖ®ВчґЬ\АЇЗШ»зАМЖ®ВчґЬ.lnk
- %ProgramFiles%\sitelimit\sitelimit.cf_
- <SYSTEM32>\SiteDB_SW.dll
- <SYSTEM32>\SiteDB.dll
Удаляет следующие файлы:
- %ProgramFiles%\sitelimit\sitelimit.cf_
Сетевая активность:
Подключается к:
- 'an###spy.co.kr':80
- 'ok####rnet.co.kr':80
TCP:
Запросы HTTP GET:
- http://an###spy.co.kr/setup/SiteProt.dll.0
- http://ok####rnet.co.kr/setup/sluninstall.exe.0
- http://ok####rnet.co.kr/setup/slupd.ex_.0
- http://ok####rnet.co.kr/setup/sitelimit.exe.0
- http://ok####rnet.co.kr/setup/sitelimit.cfg
- http://an###spy.co.kr/setup/SiteDB.dll.0
- http://an###spy.co.kr/setup/SiteDB_SW.dll.0
Запросы HTTP POST:
- http://ok####rnet.co.kr/prog/open.php?se##########
UDP:
- DNS ASK an###spy.co.kr
- DNS ASK ok####rnet.co.kr
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
