Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'jserv' = '%APPDATA%\jsw\jserv.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\3huMQKZOpf.exe.exe
- <Имя диска съемного носителя>:\autorun.inf.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\3huMQKZOpf.exe
Вредоносные функции:
Создает и запускает на исполнение:
- %APPDATA%\yF7IK9yXI.exe -g no -a 5 -t 1 -o http://mi####.eligius.st:8337/ -u 1L6uXgq8FTgYYNorkRnpamCDpSq9FydgsB -p x
- %APPDATA%\jsw\jserv.exe
- %APPDATA%\yF7IK9yXI.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %APPDATA%\yF7IK9yXI.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\svchost[1].exe
- %APPDATA%\jsw\jserv.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\autorun.inf.exe
- <Имя диска съемного носителя>:\3huMQKZOpf.exe.exe
- %APPDATA%\jsw\jserv.exe
- <Имя диска съемного носителя>:\3huMQKZOpf.exe
Сетевая активность:
Подключается к:
- 'dl.##opbox.com':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- dl.##opbox.com/u/27790450/ufasoft/svchost.exe
UDP:
- DNS ASK dl.##opbox.com
Другое:
Ищет следующие окна:
- ClassName: 'Indicator' WindowName: ''
