Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"c:\winnt\inf\iis\mirc.exe"'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"c:\winnt\inf\iis\mirc.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\mirc] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- C:\winnt\INF\IIS\FireDaemon.exe
- C:\winnt\INF\IIS\mirc.exe
- C:\winnt\INF\IIS\hex.exe /hide mIRC32*
- C:\winnt\INF\IIS\FireDaemon.exe -i mirc "c:\winnt\inf\IIS" "c:\winnt\inf\IIS\block.bat" "" Y 0 0 N Y
- C:\winnt\INF\IIS\FireDaemon.exe -i mirc "c:\winnt\inf\IIS" "c:\winnt\inf\IIS\mirc.exe" "" Y 0 0 N Y
- C:\winnt\INF\IIS\FireDaemon.exe -i mirc "c:\winnt\inf\IIS" "c:\winnt\inf\IIS\nos.bat" "" Y 0 0 N Y
- C:\winnt\INF\IIS\FireDaemon.exe -i mirc "c:\winnt\inf\IIS" "c:\winnt\inf\IIS\secure.bat" "" Y 0 0 N Y
Запускает на исполнение:
- <SYSTEM32>\net1.exe start nos
- <SYSTEM32>\net1.exe start mirc
- <SYSTEM32>\net1.exe start secure
- <SYSTEM32>\net1.exe start block
- %WINDIR%\msagent\agentsvr.exe -Embedding
- <SYSTEM32>\attrib.exe +h +a "c:\winnt\inf"
- <SYSTEM32>\cmd.exe /c ""c:\WINNT\INF\IIS\inst.bat" "
- <SYSTEM32>\attrib.exe +h +a "c:\winnt\inf\iis"
- <SYSTEM32>\attrib.exe +h +a "c:\"
- <SYSTEM32>\attrib.exe +h +a "c:\winnt"
Изменения в файловой системе:
Создает следующие файлы:
- C:\winnt\INF\IIS\uninstall.uni
- C:\winnt\INF\IIS\whore.dll
- C:\winnt\INF\IIS\aliases.ini
- C:\winnt\INF\IIS\regedit
- C:\winnt\INF\IIS\moo.dll
- C:\winnt\INF\IIS\moodll.mrc
- C:\winnt\INF\IIS\omfg.tad
- %TEMP%\WERaf6c.dir00\FireDaemon.EXE.hdmp
- %TEMP%\WERaf6c.dir00\appcompat.txt
- %TEMP%\WERaf6c.dir00\manifest.txt
- %TEMP%\WERaf6c.dir00\FireDaemon.EXE.mdmp
- C:\winnt\INF\IIS\nt.dll
- C:\winnt\INF\IIS\mirc.ini
- C:\winnt\INF\IIS\remote.ini
- C:\winnt\INF\IIS\block.bat
- C:\winnt\INF\IIS\do.tad
- C:\winnt\INF\IIS\ebite.bit
- C:\winnt\INF\IIS\bite.bit
- C:\winnt\INF\IIS\asaian1.tad
- C:\winnt\INF\IIS\bitch.bii
- C:\winnt\INF\IIS\bitch.ntl
- C:\winnt\INF\IIS\inst.bat
- C:\winnt\INF\IIS\ips.mrc
- C:\winnt\INF\IIS\mirc.exe
- C:\winnt\INF\IIS\hex.exe
- C:\winnt\INF\IIS\edu1.tad
- C:\winnt\INF\IIS\eebite.bit
- C:\winnt\INF\IIS\FireDaemon.exe
Удаляет следующие файлы:
- C:\winnt\INF\IIS\TMP2.$$$
Перемещает следующие файлы:
- C:\winnt\INF\IIS\remote.ini в C:\winnt\INF\IIS\TMP2.$$$
Сетевая активность:
Подключается к:
- 'in###.leech-hq.net':6667
UDP:
- DNS ASK in###.leech-hq.net
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'EDIT' WindowName: ''
