Техническая информация
Для обеспечения автозапуска и распространения:
Создает следующие сервисы:
- [<HKLM>\SYSTEM\ControlSet001\Services\ERSvc] 'Start' = '00000002'
Заражает следующие исполняемые системные файлы:
- <SYSTEM32>\ersvc.dll
Подменяет следующие исполняемые системные файлы:
- <SYSTEM32>\dllcache\ersvc.dll файлом <SYSTEM32>\dllcache\ersvc.dll.new
- <SYSTEM32>\ersvc.dll файлом <SYSTEM32>\ersvc.dll.new
Вредоносные функции:
Запускает на исполнение:
- <SYSTEM32>\svchost.exe -k netsvcs
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\suareew.dll
- C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\CJCTQ25G\Config[1].txt
- %WINDIR%\KB956391_ie.log
- <SYSTEM32>\KB936782.dll.bak
Удаляет следующие файлы:
- <SYSTEM32>\ersvc.dll.tmp
Перемещает следующие файлы:
- <SYSTEM32>\dllcache\ersvc.dll.new в <SYSTEM32>\dllcache\ersvc.dll
- <SYSTEM32>\ersvc.dll в <SYSTEM32>\ersvc.dll.tmp
Самоудаляется.
Сетевая активность:
Подключается к:
- 'www.ji###123.com':80
- 'localhost':1035
TCP:
Запросы HTTP GET:
- www.ji###123.com/002/Count.asp?ma#######################################
- www.ji###123.com/Config.txt
UDP:
- DNS ASK www.ji###123.com
