Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Userinit' = '<SYSTEM32>\userinit.exe, "%HOMEPATH%\InternetExplorer.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'winlogon' = '%WINDIR%\winsp.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Live Messenger' = '"%HOMEPATH%\InternetExplorer.exe"'
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'explorer.exe, "%HOMEPATH%\InternetExplorer.exe"'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\Autorun.inf
- <Имя диска съемного носителя>:\Diskrun.exe
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v winlogon /t REG_SZ /d "%WINDIR%\winsp.exe" /f
- <SYSTEM32>\cmd.exe /c "%APPDATA%\pocho.bat"
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\pocho.bat
- %WINDIR%\winsp.exe
- C:\Autorun.inf
- %HOMEPATH%\InternetExplorer.exe
- C:\Diskrun.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\Diskrun.exe
- <Имя диска съемного носителя>:\Autorun.inf
- C:\Autorun.inf
- %HOMEPATH%\InternetExplorer.exe
- C:\Diskrun.exe
Сетевая активность:
UDP:
- DNS ASK se#######enter2.serveftp.com
- DNS ASK wi#######seajour.3utilities.com
