Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\BITS] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\6322.exe
- %WINDIR%\RapidShare Plus.exe
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\BIT2.tmp
- %TEMP%\BIT4.tmp
- %WINDIR%\RapidShare Plus.exe
- %WINDIR%\6322.exe
Сетевая активность:
Подключается к:
- 'ad####ideohome.net':80
- 'localhost':1039
- 'wp#d':80
- 'localhost':1037
TCP:
Запросы HTTP GET:
- ad####ideohome.net/task.php?ad###############
- ad####ideohome.net/check.php
- wp#d/wpad.dat
UDP:
- DNS ASK ad####ideohome.net
- DNS ASK wp#d
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
