Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{f92B23AB-A707-22d2-9CBD-0000F87A469H}] 'StubPath' = '%ALLUSERSPROFILE%\Application Data\Microsoftof.exe'
- [<HKLM>\SOFTWARE\Classes\url|chm|vbs\Shell\Open\Command] '' = '"%PROGRAM_FILES%\Windows NT\hypertrm.exe" "%1"'
- [<HKLM>\SOFTWARE\Classes\ini\Shell\Open\Command] '' = '"%PROGRAM_FILES%\Windows Media Player\mplayer2.exe" "%1"'
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\mplayer2.exe файлом <SYSTEM32>\dllcache\mplayer2.exe.new
Вредоносные функции:
Создает и запускает на исполнение:
- C:\Documents and Settings\Tempttme.exe
- %ALLUSERSPROFILE%\Application Data\Microsoftof.exe -a
- %PROGRAM_FILES%\UЕМ.exe
- %ALLUSERSPROFILE%\Application Data\Microsoftof.exe
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\AutoUDisk[1].aspx
- %PROGRAM_FILES%\Windows Media Player\mplayer2.exe.new
- <SYSTEM32>\dllcache\mplayer2.exe.new
- %PROGRAM_FILES%\UЕМ.exe
- %ALLUSERSPROFILE%\Application Data\Microsoftof.exe
- C:\Documents and Settings\Tempttme.exe
Сетевая активность:
Подключается к:
- 'www.yu##ach.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.yu##ach.com/soft/AutoUDisk.aspx
UDP:
- DNS ASK www.yu##ach.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
