Техническая информация
Для обеспечения автозапуска и распространения
Модифицирует следующие ключи реестра
- [<HKLM>\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\] 'Host Process for Windows Services' = '%WINDIR%\7841140124941\svchost.exe'
- [<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run\] 'Host Process for Windows Services' = '%WINDIR%\7841140124941\svchost.exe'
Создает следующие файлы на съемном носителе
- <Имя диска съемного носителя>:\__\drivemgr.exe
- <Имя диска съемного носителя>:\.lnk
- <Имя диска съемного носителя>:\autorun.inf
- <Имя диска съемного носителя>:\archer.avi
Вредоносные функции
Для затруднения выявления своего присутствия в системе
блокирует запуск следующих системных утилит:
- Системный антивирус (Защитник Windows)
блокирует:
- Центр обеспечения безопасности (Security Center)
Изменения в файловой системе
Создает следующие файлы
- %WINDIR%\7841140124941\svchost.exe
Присваивает атрибут 'скрытый' для следующих файлов
- %WINDIR%\7841140124941\svchost.exe
- <Имя диска съемного носителя>:\.lnk
Сетевая активность
Подключается к
- 'tl##net.top':80
- '21#.#.117.63':80
TCP
Запросы HTTP GET
- http://tl##net.top/1
- http://tl##net.top/2
- http://tl##net.top/3
- http://tl##net.top/4
- http://tl##net.top/5
- http://tl##net.top/6
- http://tl##net.top/7
- http://tl##net.top/8
UDP
- DNS ASK tl##net.top
- DNS ASK lo####iofiehfihf.to
- DNS ASK lo####iorgididii.to
- DNS ASK le####ijiejdijef.to
- DNS ASK li####fbiaebfiie.to
- DNS ASK lo####huoaefhefu.to
- DNS ASK lp####pokadkeoot.to
Другое
Создает и запускает на исполнение
- '%WINDIR%\7841140124941\svchost.exe'
