Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\Software\Microsoft\Windows\CurrentVersion\Run] 'svchost' = '%WINDIR%\svchost.exe /e:vbs <SYSTEM32>\svCHost.DAT'
Устанавливает следующие настройки сервисов
- [<HKLM>\SYSTEM\ControlSet001\Services\TlntSvr] 'Start' = '00000002'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\bupt.dat
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует отображение:
- скрытых файлов
Создает и запускает на исполнение
- '%WINDIR%\svchost.exe' /E:VBs <SYSTEM32>\svCHost.DAT
Ищет ветки реестра, отвечающие за хранение паролей сторонними программами
- [<HKCU>\Software\Microsoft\Internet Account Manager]
- [<HKLM>\Software\Microsoft\Windows Mail]
- [<HKCU>\Software\Microsoft\Windows Mail]
Изменения в файловой системе
Создает следующие файлы
- <SYSTEM32>\svchost.dat
- %WINDIR%\svchost.exe
- <SYSTEM32>\liam.dat
Присваивает атрибут 'скрытый' для следующих файлов
- <SYSTEM32>\svchost.dat
- %WINDIR%\svchost.exe
- <SYSTEM32>\liam.dat
- <Имя диска съемного носителя>:\bupt.dat
Сетевая активность
Подключается к
- 'ip##8.cn':80
- 'sm##.qq.com':25
TCP
Другие
- 'sm##.qq.com':25
UDP
- DNS ASK ip##8.cn
- DNS ASK sm##.qq.com
