Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\software\microsoft\windows\currentversion\run] 'NETUTILS' = '%WINDIR%\8D0EvNoF9SlD.exe'
Создает или изменяет следующие файлы
- %HOMEPATH%\start menu\programs\startup\idwn5i89.exe
- %ALLUSERSPROFILE%\start menu\programs\startup\idwn5i89.exegswpyh5lwb.exe
Изменяет следующие исполняемые системные файлы
- <SYSTEM32>\shutdown.exe
Заражает следующие исполняемые файлы
- %APPDATA%\icqm\icqsetup.exe
- %TEMP%\downloader.exe
- %HOMEPATH%\my documents\icq_rfrset.exe
- %ProgramFiles%\adobe\reader 10.0\reader\acrord32.exe
- %ProgramFiles%\adobe\reader 10.0\reader\acrord32info.exe
- %ProgramFiles%\aim6\aim6.exe
- %ProgramFiles%\aimpro\aimpro.exe
- %ProgramFiles%\autodown\autodown.exe
- %ProgramFiles%\icq\icq.exe
- %ProgramFiles%\icqlite\icqlite.exe
- %ProgramFiles%\navwnt\navwnt.exe
- %ProgramFiles%\pidgin\gtk\bin\gspawn-win32-helper-console.exe
- %ProgramFiles%\pidgin\gtk\bin\gspawn-win32-helper.exe
- %ProgramFiles%\usdownloader\usdownloader.exe
- %ProgramFiles%\winrar\winrar.exe
- <SYSTEM32>\shutdown.exe
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует:
- Cредство проверки системных файлов (SFC)
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\8d0evnof9sld.exe
- %TEMP%\~rgeffere.tmp
- <SYSTEM32>\shutdown.exe.new
- <SYSTEM32>\dllcache\shutdown.exe.new
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\8d0evnof9sld.exe
- %HOMEPATH%\start menu\programs\startup\idwn5i89.exe
- %ALLUSERSPROFILE%\start menu\programs\startup\idwn5i89.exegswpyh5lwb.exe
Удаляет следующие файлы
- %TEMP%\~rgeffere.tmp
Подменяет следующие файлы
- %TEMP%\~rgeffere.tmp
Сетевая активность
Подключается к
- '12#.#7.9.247':6667
