Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\exefile\shell\open\command] '' = '%WINDIR%\svchost.com "%1" %*'
Заражает следующие исполняемые файлы:
- C:\Far2\Far.exe
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\0.exe
- %APPDATA%\1.exe
- %TEMP%\3582-490\1.exe
- %WINDIR%\svchost.com
- %TEMP%\nse2.tmp\System.dll
- %TEMP%\nse2.tmp\modern-wizard.bmp
- %TEMP%\tmp5023.tmp
- %TEMP%\dw.log
- %TEMP%\2B5F8.dmp
Сетевая активность:
Подключается к:
- 'wp#d':80
- 'pa###bin.com':443
TCP:
Запросы HTTP GET:
- http://11#.#11.111.1/wpad.dat via wp#d
UDP:
- DNS ASK wp#d
- DNS ASK pa###bin.com
Другое:
Ищет следующие окна:
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение:
- '%APPDATA%\0.exe'
- '%APPDATA%\1.exe'
- '%TEMP%\3582-490\1.exe'
Запускает на исполнение:
- '%CommonProgramFiles%\Microsoft Shared\DW\DW20.EXE' -x -s 772
