Техническая информация
Для обеспечения автозапуска и распространения:
Модифицирует следующие ключи реестра:
- [<HKLM>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = 'Explorer.exe comprsx.exe'
- [<HKLM>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'CTFM0N' = 'comprsx.exe'
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Диспетчера задач (Taskmgr)
- Редактора реестра (RegEdit)
блокирует:
- Центр обеспечения безопасности (Security Center)
Создает и запускает на исполнение:
- '<SYSTEM32>\comprsx.exe' 132 "<Полный путь к вирусу>"
Изменения в файловой системе:
Создает следующие файлы:
- %WINDIR%\sign-up.zip
- <SYSTEM32>\comprsx.exe
Присваивает атрибут 'скрытый' для следующих файлов:
- <SYSTEM32>\comprsx.exe
Самоудаляется.
Сетевая активность:
Подключается к:
- 'y.#####japan2008.com.cn':12830
UDP:
- DNS ASK dn#.##ftncsi.com
- DNS ASK y.#####japan2008.com.cn
