Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 'msmsn' = '<Полный путь к файлу>'
Вредоносные функции
Запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" Anti-Virus ENABLE
Изменения в файловой системе
Создает следующие файлы
- <LS_APPDATA>\microsoft\windows\<INETFILES>\content.ie5\caasbycl\configex[1].txt
- %WINDIR%\syswow64\configex.dll
Сетевая активность
TCP
Запросы HTTP GET
- http://h1.##pway.com/sendmail/configex.txt
UDP
- DNS ASK h1.##pway.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: 'MSN Today'
- ClassName: '' WindowName: ' Today'
- ClassName: '' WindowName: 'Hoje'
- ClassName: '' WindowName: 'Windows Live Hoje'
- ClassName: '' WindowName: 'Bem-vindo ao Windows Live Messenger'
- ClassName: '' WindowName: 'Windows Live Today'
- ClassName: '' WindowName: 'MSN Hoje'
Создает и запускает на исполнение
- '%WINDIR%\syswow64\netsh.exe' firewall add allowedprogram "<Полный путь к файлу>" Anti-Virus ENABLE' (со скрытым окном)
