Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] ' krcdh' = '"<LS_APPDATA>\zodi\zodi.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ' krcdh' = '"<LS_APPDATA>\zodi\zodi.exe"'
Вредоносные функции:
Создает и запускает на исполнение:
- '%TEMP%\WindowsXP-KB968930-x86-ENG.exe' /quiet /norestart
- '%TEMP%\WindowsXP-KB968930-x86-ENG.exe' (загружен из сети Интернет)
Запускает на исполнение:
- '<SYSTEM32>\regsvr32.exe'
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\regsvr32.exe
Изменяет следующие настройки браузера Windows Internet Explorer:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1206' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '2300' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1] '1809' = '00000003'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1206' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '2300' = '00000000'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3] '1809' = '00000003'
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\WindowsXP-KB968930-x86-ENG[1].exe
- %TEMP%\WindowsXP-KB968930-x86-ENG.exe
- <LS_APPDATA>\zodi\zodi.exe
- %HOMEPATH%\Local Settings\<INETFILES>\Content.IE5\KHMHGZ4F\microsoft[1]
Самоудаляется.
Сетевая активность:
Подключается к:
- '64.##.80.222':80
- '21#.#2.173.166':80
- '24#.#21.223.93':80
- '10#.#39.52.163':80
- '14#.#56.117.52':80
- '78.##0.187.148':80
- '25#.#4.86.42':80
- '51.##1.184.149':80
- '24#.#49.31.117':80
- '65.##0.203.43':80
- '71.##0.29.37':80
- '41.##5.215.215':80
- '21#.#7.181.24':80
- '18#.#6.200.30':80
- '22#.#14.38.79':80
- '18#.#1.238.33':80
- '17#.#52.165.213':80
- '20#.#6.232.182':80
- '96.#05.4.32':80
- '55.##3.180.211':80
- '21#.#02.9.234':443
- '15#.#5.37.186':80
- '23#.#37.233.175':80
- '19#.#3.39.57':80
- '48.##4.167.139':80
- '24#.#00.149.144':80
- '8.##9.3.178':80
- '24.#9.142.1':80
- '16#.#8.32.231':80
- '25#.#09.160.194':80
- '20#.#7.129.161':80
- '12#.#4.156.193':80
TCP:
Запросы HTTP GET:
- http://download.microsoft.com/download/E/C/E/ECE99583-2003-455D-B681-68DB610B44A4/WindowsXP-KB968930-x86-ENG.exe via 20#.#6.232.182
- http://microsoft.com/ via 20#.#6.232.182
UDP:
- DNS ASK download.microsoft.com
- DNS ASK microsoft.com
