Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'LockIE' = '<Полный путь к вирусу> /r'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\AutoDns.cmd" "
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\UG2.tmp
- %TEMP%\AutoDns.cmd
- <SYSTEM32>\dv.dll
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\ip[1].jsp
Удаляет следующие файлы:
- %TEMP%\UG2.tmp
Сетевая активность:
Подключается к:
- 'wh###.#conline.com.cn':80
- '61.##7.113.68':2014
- 'localhost':1036
- '58.##5.241.245':8081
TCP:
Запросы HTTP GET:
- wh###.#conline.com.cn/ip.jsp
UDP:
- DNS ASK wh###.#conline.com.cn
- '<IP-адрес в локальной сети>':1039
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
