Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\irc\Shell\open\command] '' = '"%WINDIR%\temp\spoolsv\spoolsv.exe" -noconnect'
- [<HKLM>\SOFTWARE\Classes\ChatFile\Shell\open\command] '' = '"%WINDIR%\temp\spoolsv\spoolsv.exe" -noconnect'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'spoolsv' = '"%WINDIR%\temp\spoolsv\spoolsv.exe"'
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\r_server] 'Start' = '00000002'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\r_server.exe /install /silence
- <SYSTEM32>\r_server.exe /start
- <SYSTEM32>\r_server.exe /service
- %WINDIR%\Temp\spoolsv\spoolsv.exe
- <SYSTEM32>\ip.exe
- %PROGRAM_FILES%\Messenger\Yahoo!\SVCHOST.exe
Запускает на исполнение:
- <SYSTEM32>\sc.exe stop r_server
- %WINDIR%\msagent\agentsvr.exe -Embedding
- <SYSTEM32>\sc.exe delete r_server
- <SYSTEM32>\sc.exe queryex r_server
- %WINDIR%\regedit.exe /s <SYSTEM32>\win32.reg
- %WINDIR%\regedit.exe /s %WINDIR%\Temp\spoolsv\a.reg
- <SYSTEM32>\cmd.exe /c ""%WINDIR%\temp\spoolsv\run.bat" "
- <SYSTEM32>\attrib.exe +H +S %WINDIR%\temp\spoolsv
- <SYSTEM32>\sc.exe delete SharedAccess
- <SYSTEM32>\sc.exe stop SharedAccess
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами:
- [<HKCU>\Software\Yahoo\pager]
Изменения в файловой системе:
Создает следующие файлы:
- %PROGRAM_FILES%\Messenger\Yahoo!\system32.dll
- %PROGRAM_FILES%\Messenger\Yahoo!\SVCHOST.exe
- %HOMEPATH%\Desktop\Yahoo! Messenger.lnk
- %PROGRAM_FILES%\Messenger\Yahoo!\Yahoo! Messenger.exe
- %PROGRAM_FILES%\Messenger\Yahoo!\ingerash.exe
- %WINDIR%\Temp\spoolsv\users.ini
- %WINDIR%\Temp\spoolsv\spoolsv.exe
- %PROGRAM_FILES%\Messenger\Yahoo!\data.dat
- <SYSTEM32>\ip.exe
- <SYSTEM32>\syserror.exe
- %WINDIR%\Temp\spoolsv\TMP2.$$$
- <SYSTEM32>\win32.reg
- <SYSTEM32>\r_server.exe
- %WINDIR%\Temp\spoolsv\TMP1.$$$
- %HOMEPATH%\Start Menu\Programs\Yahoo! 1.00\Yahoo! Messenger.lnk
- %HOMEPATH%\Start Menu\Yahoo! Messenger.lnk
- <SYSTEM32>\rlog
- %APPDATA%\Microsoft\Internet Explorer\Quick Launch\Yahoo! Messenger.lnk
- %WINDIR%\Temp\spoolsv\a.reg
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\Temp\spoolsv\com.mrc
- %WINDIR%\Temp\spoolsv\aliases.ini
- %TEMP%\$inst\8.tmp
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\7.tmp
- %TEMP%\$inst\5.tmp
- %WINDIR%\Temp\spoolsv\remote.ini
- %WINDIR%\Temp\spoolsv\popups.txt
- %WINDIR%\Temp\spoolsv\servers.ini
- %WINDIR%\Temp\spoolsv\run.bat
- %WINDIR%\Temp\spoolsv\mirc.ini
- %WINDIR%\Temp\spoolsv\Desktop.ini
- %WINDIR%\Temp\spoolsv\control.ini
- %WINDIR%\Temp\spoolsv\mirc.ico
- %WINDIR%\Temp\spoolsv\ident.txt
Присваивает атрибут 'скрытый' для следующих файлов:
- %WINDIR%\Temp\spoolsv\run.bat
- %WINDIR%\Temp\spoolsv\remote.ini
- %WINDIR%\Temp\spoolsv\popups.txt
- %WINDIR%\Temp\spoolsv\users.ini
- %WINDIR%\Temp\spoolsv\spoolsv.exe
- %WINDIR%\Temp\spoolsv\servers.ini
- %WINDIR%\Temp\spoolsv\mirc.ini
- %WINDIR%\Temp\spoolsv\control.ini
- %WINDIR%\Temp\spoolsv\aliases.ini
- %WINDIR%\Temp\spoolsv\a.reg
- %WINDIR%\Temp\spoolsv\mirc.ico
- %WINDIR%\Temp\spoolsv\ident.txt
- %WINDIR%\Temp\spoolsv\Desktop.ini
Удаляет следующие файлы:
- %TEMP%\$inst\4.tmp
- %TEMP%\$inst\2.tmp
- %TEMP%\$inst\5.tmp
- %TEMP%\$inst\8.tmp
- %TEMP%\$inst\7.tmp
- %WINDIR%\Temp\spoolsv\TMP1.$$$
- %TEMP%\$inst\temp_0.tmp
- %WINDIR%\Temp\spoolsv\TMP2.$$$
- %PROGRAM_FILES%\Messenger\Yahoo!\system32.dll
- %PROGRAM_FILES%\Messenger\Yahoo!\data.dat
Сетевая активность:
Подключается к:
- '10.#1.32.6':5000
- '10.#1.32.20':5000
- '19#.#09.20.90':6664
- 'sm##.gmail.com':465
- '69.##.172.34':6668
UDP:
- DNS ASK sm##.gmail.com
Другое:
Ищет следующие окна:
- ClassName: 'RegEdit_RegEdit' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
