Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Classes\txtfile\shell\open\command] '' = '<SYSTEM32>\abc.exe %1'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'server' = '<SYSTEM32>\system1.exe'
Вредоносные функции:
Создает и запускает на исполнение:
- <SYSTEM32>\yong4.exe
- <SYSTEM32>\yong3.exe
- <SYSTEM32>\yong2.exe
- <SYSTEM32>\yong1.exe
- <SYSTEM32>\yong4.exe (загружен из сети Интернет)
- <SYSTEM32>\yong3.exe (загружен из сети Интернет)
- <SYSTEM32>\yong1.exe (загружен из сети Интернет)
- <SYSTEM32>\yong2.exe (загружен из сети Интернет)
Изменения в файловой системе:
Создает следующие файлы:
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\4[1].exe
- <SYSTEM32>\yong2.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\YPORKZYZ\3[1].exe
- <SYSTEM32>\yong4.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\5[1].exe
- <SYSTEM32>\yong3.exe
- <SYSTEM32>\yong1.exe
- <SYSTEM32>\System1.exe
- <SYSTEM32>\MSWINSCK.OCX
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\KHMHGZ4F\MSWINSCK[1].OCX
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\2VAZY7AN\2[1].exe
- <SYSTEM32>\systrsy1.exe
- %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\U98D4X8H\1[1].exe
Сетевая активность:
Подключается к:
- '61.##0.186.102':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- 61.##0.186.102/yong/yong/3.exe
- 61.##0.186.102/yong/yong/4.exe
- 61.##0.186.102/yong/yong/5.exe
- 61.##0.186.102/yong/yong/MSWINSCK.OCX
- 61.##0.186.102/yong/yong/1.exe
- 61.##0.186.102/yong/yong/2.exe
