Техническая информация
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'ldmgr' = '<Полный путь к вирусу>'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<Полный путь к вирусу>' = '<Полный путь к вирусу>:*:Enabled:helpLD'
- <SYSTEM32>\windfk.exe
- <SYSTEM32>\windfk.exe (загружен из сети Интернет)
- <SYSTEM32>\netsh.exe firewall add allowedprogram <Полный путь к вирусу> "helpLD" ENABLE
- <SYSTEM32>\windfk.exe
- <SYSTEM32>\cmdld.exe
- <SYSTEM32>\wbem\Performance\WmiApRpl_new.ini
- 'sa######122012.fateback.com':80
- 'www.sa#####1122012.yoyo.pl':80
- 'sa######122012.php0h.com':80
- 'me####s.lycos.co.uk':80
- www.sa#####1122012.yoyo.pl/0x001e/vumi/update/0x001e/vumi/update/worm
- www.sa#####1122012.yoyo.pl/0x001e/vumi/update/ver_worm.tz
- www.sa#####1122012.yoyo.pl/0x001e/vumi/update/0x001e/vumi/update/0x001e/vumi/update/0x001e/vumi/update/watch
- www.sa#####1122012.yoyo.pl/0x001e/vumi/update/0x001e/vumi/update/0x001e/vumi/update/ver_watch.tz
- me####s.lycos.co.uk/samael21122012/ctrldb.tz
- sa######122012.php0h.com/ctrldb.tz
- www.sa#####1122012.yoyo.pl/ctrldb.tz
- sa######122012.fateback.com/ctrldb.tz
- DNS ASK sa######122012.fateback.com
- DNS ASK www.sa#####1122012.yoyo.pl
- DNS ASK sa######122012.php0h.com
- DNS ASK me####s.lycos.co.uk
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: '' WindowName: 'windfk'