Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %WINDIR%\Tasks\SA.DAT
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\setup.exe
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\spoclsv.exe
Запускает на исполнение:
- <SYSTEM32>\net1.exe share A$ /del /y
- <SYSTEM32>\net1.exe share admin$ /del /y
- <SYSTEM32>\net1.exe share IPC$ /del /y
- <SYSTEM32>\net1.exe share C$ /del /y
- <SYSTEM32>\cmd.exe /c %TEMP%\37$$.bat
- <SYSTEM32>\net1.exe share Z$ /del /y
- <SYSTEM32>\net1.exe share E$ /del /y
Внедряет код в
следующие системные процессы:
- <SYSTEM32>\svchost.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\55$$.Ico
- <Текущая директория>\RCX1.tmp
- <SYSTEM32>\spoclsv.exe
- <Текущая директория>\AcroRd32.exe.exe.exe
- %TEMP%\37$$.bat
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\setup.exe
Удаляет следующие файлы:
- %TEMP%\55$$.Ico
- <Текущая директория>\AcroRd32.exe.exe.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.wh##y.net':80
- 'bb#.qq.com':80
- '<IP-адрес в локальной сети>':139
- '<IP-адрес в локальной сети>':445
TCP:
Запросы HTTP GET:
- bb#.qq.com/cgi-bin/bbs/friend/user_info_show?ln########
- www.wh##y.net/update/worm.txt
UDP:
- DNS ASK bb#.qq.com
- DNS ASK www.wh##y.net
Другое:
Ищет следующие окна:
- ClassName: 'xXx_WhBoy' WindowName: 'xXx_WhBoy_Worm'
