Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'kav' = '%PROGRAM_FILES%\Internet Explorer\6to4ex.exe'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\net1.exe stop sharedaccess
- <SYSTEM32>\reg.exe add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v kav /t REG_SZ /d "%PROGRAM_FILES%\Internet Explorer\6to4ex.exe" /f
- <SYSTEM32>\net.exe stop sharedaccess
- <SYSTEM32>\cmd.exe /c "%PROGRAM_FILES%\Internet Explorer\1.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Internet Explorer\1.bat
- %PROGRAM_FILES%\Internet Explorer\6to4ex.exe
Сетевая активность:
Подключается к:
- 'ag####2011.3322.org':5858
UDP:
- DNS ASK ag####2011.3322.org
- '<IP-адрес в локальной сети>':1037
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
