Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'FlashMute' = '%WINDIR%\flashmute.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'twunk_32' = '%WINDIR%\32_twunk.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- %WINDIR%\MZђ.exe
- %WINDIR%\flashmute.exe
- %WINDIR%\MZђ.exe (загружен из сети Интернет)
Запускает на исполнение:
- <SYSTEM32>\ping.exe -n 1 -w 5000 www.google.com
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\temp858539-ssacsyf.txt
- %WINDIR%\MZђ.exe
- %WINDIR%\videolist.txt
- %WINDIR%\flashmute.exe
- %WINDIR%\mutelib.dll
- %TEMP%\temp347399-ping.txt
Удаляет следующие файлы:
- %TEMP%\temp347399-ping.txt
Сетевая активность:
Подключается к:
- 'di####connect.pl':80
TCP:
Запросы HTTP GET:
- di####connect.pl/new2/videolist1.txt
- di####connect.pl/new2/videolist2.txt
- di####connect.pl/new2/videolist.txt
- di####connect.pl/new2/software
- di####connect.pl/new2/software/MZ?.e##
UDP:
- DNS ASK di####connect.pl
- DNS ASK www.google.com
Другое:
Ищет следующие окна:
- ClassName: 'AutoHotkey' WindowName: '<Полный путь к вирусу>'
