Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe rschost32.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CTFM0N' = 'rschost32.exe'
Создает следующие файлы на съемном носителе:
- <Имя диска съемного носителя>:\data.exe
- <Имя диска съемного носителя>:\autorun.inf
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- <SYSTEM32>\rschost32.exe 92 "<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\sign-up.zip
- <SYSTEM32>\rschost32.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\data.exe
- <SYSTEM32>\rschost32.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'y.#####japan2008.com.cn':12830
UDP:
- DNS ASK y.#####japan2008.com.cn
