Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует главную загрузочную запись (MBR).
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\System32\mmc.exe'
- '%TEMP%\syswnt.exe'
- '%TEMP%\System32\mmc.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\schtasks.exe' /create /tn "pppp" /xml "%TEMP%\sss.xml" /ru "SYSTEM"
- '<SYSTEM32>\schtasks.exe' /delete /tn "pppp" /f
- '<SYSTEM32>\cmd.exe' /c ""%TEMP%\_uninsep.bat" "
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\autorun.bat
- %TEMP%\sss.xml
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\apss32[1].dll6
- %TEMP%\syswnt.exe
- %TEMP%\_uninsep.bat
Удаляет следующие файлы:
- %TEMP%\sss.xml
Самоудаляется.
Сетевая активность:
Подключается к:
- '69##x82.com':80
TCP:
Запросы HTTP GET:
- http://69##x82.com/CloneFile/apss32.dll6
UDP:
- DNS ASK 69##x82.com
