Техническая информация
Для обеспечения автозапуска и распространения:
Создает или изменяет следующие файлы:
- %HOMEPATH%\Start Menu\Programs\Startup\Fontview32.exe
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\msiexec.exe /i "%TEMP%\FlvToMp3.msi"
- <SYSTEM32>\msiexec.exe /V
- <SYSTEM32>\msiexec.exe -Embedding 0524B1995CF1DD81D0DCCEB63133850E C
- <SYSTEM32>\taskkill.exe /f /im iexplor*
- <SYSTEM32>\taskkill.exe /f /im chr*
- <SYSTEM32>\taskkill.exe /f /im fire*
- <SYSTEM32>\taskkill.exe /f /im oper*
Завершает или пытается завершить
следующие пользовательские процессы:
- iexplore.exe
- chrome.exe
- firefox.exe
- opera.exe
Без разрешения пользователя устанавливает новую стартовую страницу для Windows Internet Explorer.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\MSI1.tmp
- %TEMP%\CFG2.tmp
- %TEMP%\MSI3.tmp
- %APPDATA%\Mozilla\Firefox\Profiles\cwdgt0y8.default\prefs.js
- %TEMP%\FlvToMp3.msi
- %TEMP%\2e11f.msi
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\20112012[1].txt
Удаляет следующие файлы:
- %TEMP%\MSI3.tmp
- %TEMP%\MSI1.tmp
Сетевая активность:
Подключается к:
- 'es###rji.org':80
TCP:
Запросы HTTP GET:
- es###rji.org/y/20112012.txt
UDP:
- DNS ASK es###rji.org
Другое:
Ищет следующие окна:
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: '' WindowName: ''
