Техническая информация
Для обеспечения автозапуска и распространения
Устанавливает следующие настройки сервисов
- [<HKLM>\System\CurrentControlSet\Services\Windows XP Vista ] 'Start' = '00000002'
- [<HKLM>\System\CurrentControlSet\Services\Windows XP Vista ] 'ImagePath' = '%WINDIR%\Hacker.com.cn.ini'
Создает следующие сервисы
- 'Windows XP Vista ' %WINDIR%\Hacker.com.cn.ini
Вредоносные функции
Устанавливает процедуры перхвата сообщений
о нажатии клавиш клавиатуры:
- Библиотека-обработчик для всех процессов: %WINDIR%\DMYJWN.DAT
оконных сообщений:
- Библиотека-обработчик для всех процессов: %WINDIR%\PAJJIY.DAT
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\ixp000.tmp\4.exe
- %WINDIR%\dmyjwn.dat
- %WINDIR%\pajjiy.dat
- %WINDIR%\hacker.com.cn.ini
- %WINDIR%\uninstal.bat
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\hacker.com.cn.ini
Удаляет следующие файлы
- %TEMP%\ixp000.tmp\4.exe
Сетевая активность
Подключается к
- 'ai##7.com':80
TCP
Запросы HTTP GET
- http://www.ai##7.com/ip.txt
UDP
- DNS ASK ai##7.com
Другое
Создает и запускает на исполнение
- '%TEMP%\ixp000.tmp\4.exe'
- '%WINDIR%\hacker.com.cn.ini'
- '%TEMP%\ixp000.tmp\4.exe' ' (со скрытым окном)
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\uninstal.bat' (со скрытым окном)
Запускает на исполнение
- '%WINDIR%\syswow64\cmd.exe' /c %WINDIR%\uninstal.bat
