Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Kernel' = '%WINDIR%\services.exe'
Изменения в файловой системе
Создает следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\caasbycl\dnserrordiagoff_weboc[1]
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\re1n75kr\dnserrordiagoff_weboc[1]
- %WINDIR%\services.exe
Удаляет следующие файлы
- %LOCALAPPDATA%\microsoft\windows\<INETFILES>\content.ie5\caasbycl\dnserrordiagoff_weboc[1]
Сетевая активность
TCP
Запросы HTTP GET
- http://www.fo##le.net/zzz/check.php
UDP
- DNS ASK fo##le.net
- DNS ASK ir#.#oofle.net
Другое
Ищет следующие окна
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\services.exe'
- '%WINDIR%\services.exe' ' (со скрытым окном)
