Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'VID32' = '<SYSTEM32>\vid32.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\scvhost.exe
- <SYSTEM32>\scvhost.exe (загружен из сети Интернет)
Завершает или пытается завершить
следующие пользовательские процессы:
- MCAGENT.EXE
- AVGCC32.EXE
- NAVAPW32.EXE
- fsav32.exe
- GUARD.EXE
- AVSYNMGR.EXE
- AVGCTRL.EXE
- smc.exe
- zapro.exe
- ZONEALARM.EXE
- AVPCC.EXE
- AVP32.EXE
- AVP.EXE
- AVPM.EXE
Изменения в файловой системе:
Создает следующие файлы:
- <SYSTEM32>\scvhost.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\prgrmam[1].exe
- <SYSTEM32>\vid32.exe
Сетевая активность:
Подключается к:
- 'we#.icq.com':80
- 'cd####.zoomph.net':80
- 'localhost':1036
TCP:
Запросы HTTP GET:
- we#.icq.com/wwp/msg/1,,,00.html?Ui##################################################################################################################
- cd####.zoomph.net/donk/prgrmam.exe
UDP:
- DNS ASK we#.icq.com
- DNS ASK cd####.zoomph.net
