Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\duotes] 'Start' = '00000002'
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\xiong[1].txt
- %WINDIR%\duote.dll
- <Текущая директория>\KKK.dll
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\duote.dll.uns
- %WINDIR%\duote.dll
Удаляет следующие файлы:
- <Текущая директория>\KKK.dll
Сетевая активность:
Подключается к:
- 'my###r.ggxx.cc':80
TCP:
Запросы HTTP GET:
- my###r.ggxx.cc/xiong.txt
UDP:
- DNS ASK my###r.ggxx.cc
Другое:
Ищет следующие окна:
- ClassName: 'Afx:400000:0' WindowName: ''
