Техническая информация
Вредоносные функции:
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Редактора реестра (RegEdit)
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c <Текущая директория>\<Имя вируса>.bat
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\flashplayer[1]
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\MFGJHDDFHRJERWEJSJSDDSHDSNREJFEHGFDFHSDAKAKKJFDCNDJJ[1].pac
- <Текущая директория>\<Имя вируса>.bat
Самоудаляется.
Сетевая активность:
Подключается к:
- '20#.#8.149.66':80
- 'ge#.#dobe.com':80
- 'localhost':1037
- 'da###osa.com':80
TCP:
Запросы HTTP GET:
- ge#.#dobe.com/br/flashplayer/
- 20#.#8.149.66/MFGJHDDFHRJERWEJSJSDDSHDSNREJFEHGFDFHSDAKAKKJFDCNDJJ.pac
Запросы HTTP POST:
- da###osa.com/includes/arena-infect/conta_infects.php
UDP:
- DNS ASK ge#.#dobe.com
- DNS ASK da###osa.com
Другое:
Ищет следующие окна:
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebcheckMonitor' WindowName: ''
- ClassName: 'MS_WINHELP' WindowName: ''
- ClassName: '' WindowName: ''
- ClassName: 'Shell_TrayWnd' WindowName: ''
- ClassName: 'IEFrame' WindowName: ''
Изменяет значение AutoConfigURL
