Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\oktfile\shell\open\command] '' = 'wscript.exe -e:vbs <Имя диска съемного носителя>:\backup\ghostghost\qq.txt'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\backup\ghostghost\urltz.exe
- <Имя диска съемного носителя>:\backup\ghostghost\qq.txt
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Thunder.exe (загружен из сети Интернет)
Запускает на исполнение:
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://www.96#8.la/tg14.html?1d
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\spmyyyl
- C:\Thunder.exe
- %TEMP%\aut1.tmp
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\uaua3603[1].exe
Удаляет следующие файлы:
- %TEMP%\aut2.tmp
- %TEMP%\spmyyyl
- %TEMP%\aut1.tmp
- C:\Thunder.exe
Сетевая активность:
Подключается к:
- '22#.#17.240.30':80
TCP:
Запросы HTTP GET:
- 22#.#17.240.30/soft/uaua3603.exe
