Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKCU>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] '¹¤¾ß.exe' = '%WINDIR%\WmiPr.exe'
Вредоносные функции
Внедряет код в
следующие пользовательские процессы:
- ВґГ½ìææ¼£
Изменения в файловой системе
Создает следующие файлы
- %TEMP%\6e5c.tmp
- %TEMP%\6e9b.tmp
- %TEMP%\6ecb.tmp
- <Текущая директория>\ВґГ½ìææ¼£
- %HOMEPATH%\desktop\ВґГ½ìææ¼£.lnk
- %WINDIR%\wmipr.exe
- %TEMP%\7d1b.tmp
- %TEMP%\7d5a.tmp
- %TEMP%\7d9a.tmp
- %TEMP%\7fd9.tmp
- %TEMP%\8018.tmp
- %TEMP%\8048.tmp
- <Текущая директория>\dlq.dat
- %TEMP%\ketix.ini
- %HOMEPATH%\desktop\ВґГ½ìæ.lnk
Присваивает атрибут 'скрытый' для следующих файлов
- <Текущая директория>\ВґГ½ìææ¼£
- %WINDIR%\wmipr.exe
Удаляет следующие файлы
- %TEMP%\6e5c.tmp
- %TEMP%\6e9b.tmp
- %TEMP%\6ecb.tmp
- %TEMP%\7d1b.tmp
- %TEMP%\7d5a.tmp
- %TEMP%\7d9a.tmp
- %TEMP%\7fd9.tmp
- %TEMP%\8018.tmp
- %TEMP%\8048.tmp
- <Текущая директория>\dlq.dat
- %TEMP%\ketix.ini
Сетевая активность
Подключается к
- 'we###n.net.cn':11357
- 'dl#.#19mu.com':81
- 'dl#.#19mu.com':50000
TCP
Запросы HTTP GET
- http://dl#.##9mu.com:81/gg.htm via dl#.#19mu.com
Другие
- 'dl#.#19mu.com':50000
UDP
- DNS ASK we###n.net.cn
- DNS ASK dl#.#19mu.com
Другое
Ищет следующие окна
- ClassName: '' WindowName: ''
- ClassName: 'MS_AutodialMonitor' WindowName: ''
- ClassName: 'MS_WebCheckMonitor' WindowName: ''
Создает и запускает на исполнение
- '<Текущая директория>\ВґГ½ìææ¼£'
- '%WINDIR%\wmipr.exe'
