Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'winchk' = '%ALLUSERSPROFILE%\Application Data\WebTemp\winchk.exe'
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %ALLUSERSPROFILE%\Application Data\WebTemp\cssys.dll
Изменения в файловой системе
Создает следующие файлы
- %ALLUSERSPROFILE%\application data\netext\udat.dat
- %ALLUSERSPROFILE%\application data\webtemp\winchk.exe
- %ALLUSERSPROFILE%\application data\webtemp\cssys.dll
- %ALLUSERSPROFILE%\application data\webtemp\iusys.dll
- %ALLUSERSPROFILE%\application data\netext\user\uman.dat
- %ALLUSERSPROFILE%\application data\netext\user\action.log
- %ALLUSERSPROFILE%\application data\netext\user\sysinfo.log
Присваивает атрибут 'скрытый' для следующих файлов
- %ALLUSERSPROFILE%\application data\webtemp\winchk.exe
- %ALLUSERSPROFILE%\application data\webtemp\cssys.dll
- %ALLUSERSPROFILE%\application data\webtemp\iusys.dll
Сетевая активность
UDP
- DNS ASK re###espy.com
Другое
Ищет следующие окна
- ClassName: 'RSClass' WindowName: 'RS'
- ClassName: 'SpyClass' WindowName: 'RemoteSpy'
- ClassName: '#32770' WindowName: ''
Создает и запускает на исполнение
- '%ALLUSERSPROFILE%\application data\webtemp\winchk.exe'
