Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Windows Update' = '%TEMP%\svchosts.bat'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\wow hacker.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Изменения в файловой системе
Создает следующие файлы
- <PATH_SAMPLE>bp.exe
- %TEMP%\svchosts.bat
- %TEMP%\svchostsbp.exe
- C:\wow hacker.exe
- C:\autorun.inf
- D:\wow hacker.exe
- D:\autorun.inf
- %TEMP%\tmp.adl
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\metadata\f0accf77cdcbff39f6191887f6d2d357
- %WINDIR%\serviceprofiles\networkservice\appdata\locallow\microsoft\cryptneturlcache\content\f0accf77cdcbff39f6191887f6d2d357
Присваивает атрибут 'скрытый' для следующих файлов
- C:\autorun.inf
- C:\wow hacker.exe
- D:\autorun.inf
- D:\wow hacker.exe
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\wow hacker.exe
Удаляет следующие файлы
- <PATH_SAMPLE>bp.exe
- %TEMP%\svchostsbp.exe
Сетевая активность
TCP
Запросы HTTP GET
- http://ba######93.wordpress.com/
- http://www.microsoft.com/pki/certs/MicRooCerAut_2010-06-23.crt
UDP
- DNS ASK ba######93.wordpress.com
Другое
Создает и запускает на исполнение
- '%TEMP%\svchosts.bat'
- '%TEMP%\svchosts.bat' ' (со скрытым окном)
