Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Windows Live Guards' = '%PROGRAM_FILES%\winlogon.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Live Guards' = '%PROGRAM_FILES%\winlogon.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\winlogon.exe
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\winlogon.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\google_q77[s4-2]rh_h.tmp
- %WINDIR%\pchealth\ERRORREP\UserDumps\winlogon.exe.20110929-153342-00.hdmp
- %WINDIR%\pchealth\ERRORREP\UserDumps\winlogon.exe.20110929-153342-00.mdmp
- %TEMP%\Bjg6c8hIE.txt
- %PROGRAM_FILES%\winlogon.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- %PROGRAM_FILES%\winlogon.exe
Сетевая активность:
Подключается к:
- 'se#####eiro.sytes.net':7349
UDP:
- DNS ASK se#####eiro.sytes.net
- '<IP-адрес в локальной сети>':1033
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
- ClassName: 'ConsoleWindowClass' WindowName: ''
- ClassName: '' WindowName: 'Windows Security Alert'
- ClassName: '' WindowName: 'BitDefender Firewall Alert'
