Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'MStask' = '%WINDIR%\svchost.exe'
Вредоносные функции
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\SOFTWARE\RIT\The Bat!]
- [<HKCU>\SOFTWARE\Mirabilis\ICQ\NewOwners]
- [<HKLM>\SOFTWARE\Wow6432Node\Miranda]
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Trillian\]
- [<HKCU>\Software\Ghisler\Windows Commander]
- [<HKCU>\Software\Ghisler\Total Commander]
- [<HKLM>\Software\Wow6432Node\Ghisler\Windows Commander]
- [<HKLM>\Software\Wow6432Node\Ghisler\Total Commander]
- [<HKCU>\Software\RimArts\B2\Settings]
- [<HKCU>\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Identities\{91255D00-95D9-49F5-8E84-7C027F5283B7}\Software\Microsoft\Internet Account Manager\Accounts]
- [<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook]
- [<HKCU>\SOFTWARE\Far\Plugins\FTP\Hosts]
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\svchost.exe
- %WINDIR%\ie-hook.dll
- <Текущая директория>\ielog.txt
- C:\pass.bin
Удаляет следующие файлы
- C:\pass.bin
Сетевая активность
UDP
- DNS ASK de###slexis.com
Другое
Ищет следующие окна
- ClassName: 'Static' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '%WINDIR%\svchost.exe'
- '%WINDIR%\svchost.exe' ' (со скрытым окном)
